仕事をしているとよく「リスク」という言葉を聞きますね。

”その案件のリスクは何だ?”とか、
”リスクヘッジはできているのか?”とかとか。

まあ上司からそう言われたら、どんな場合も
「リスクはありません!」と自動再生のように返しますが(ウソです)

でもよく考えてみたら”リスク”ってなんでしょうかね?

リスクとは将来のいずれかの時において何か悪い事象が起こる可能性をいう。

ウィキペディア(Wikipedia)より

と、困ったときのwikiさんが言っておられます。

なるほど、”悪いことが起こる可能性”ですか。
ふむふむ。

ただ、IT絡みで使われる場合は、少しニュアンスが違ってきます。
それは、リスクとは「会社にとって大事なものを失うこと」です。

では会社にとって大事なものとは何でしょうか。
信用、顧客、情報、従業員、売上、資金、事業などですかね。
これを一括にまとめると”資産”という言葉になります。

それを踏まえてリスクとは?という問いに答えると、
「会社の資産を失うこと(可能性)」になります。

リスク回避しろと言いますが、
重要なのは”何を守りたいか”、をきちんと明確にした上で、
そして”何から守るのか”を想定し、”どうやって守るのか”を検討する。

見ていると、特に”何を守りたいのか”が不明確な会社が多いように思います。
良くて”何から守るか”が想定されていて、
ひどいと前の2つが全く無く、”どうやって守るのか”しか検討していない
パターンを良く見かけます。

守る対象が決まっていいないから、どうやって守るかという
内容もどうしてもブレてしまいます。

リスクという言葉はよく聞くだけに、
その言葉の中にあるモノが抽象的になりがちです。
あなたの会社にとってのリスクってなんでしょうか?
セキュリティセキュリティと叫ぶ前に、
一度この問に向き合って見る必要があるかもしれません。