ITのリスク、それは益々大きくなる一方のようです。
様々な方面にリスクが有り、外部からの攻撃・機器やソフト自体の問題・等々すでに現実化したものもあり、また大きな影響が考えられるものもありそうです。
これはすでに10年ほど前の本ですが、著者は日立製作所でセキュリティを担当した後、大学でさらに研究を続けれおられるそうです。
政府や企業などに限らず、個人レベルでもこの問題についてはしっかりと考えていかなければならないでしょう。
かつては情報セキュリティー問題として企業や官公庁の情報流出や破壊といったものの問題という意味が強かったのですが、最近は個人としてネットにつながり様々な活動をするということから、そちらでの危険性も増えてきました。
企業などはセキュリティー対策としてコストを掛け専門家に依頼すると言った対策も進んできたのですが、まだまだ個人でのセキュリティー意識はそこまで浸透していないようです。
「2000年問題」という言葉が駆け巡っていたのも一昔前になってしまいました。
1999年当時は社会全体としてかなりの危険性予測が出され、実際に2000年になるところでは相当な緊張を持って迎えられたようですが、実害はほとんどなく済んだようです。
予測された主な危険性というのは、初期のコンピュータでは日付処理を西暦の下2桁で行っていたことから、2000年は「00」として処理されることになり、1900年と見分けがつかなくなるということでした。
その影響は最悪の場合は事故の発生や経済への影響といったものもあり得るとされ、「ミサイルの誤発射もある」といった話も飛び交ったものです。
もちろん、社会全体としてその対応にはかなり以前から取り組んできたわけで、実害がなかったのもその対応をしたからとも言えます。
その対応状況を検証するという研究は全世界的に行われてきました。
日本の特徴として、2000年問題はあくまでもコンピュータの技術的問題であるのも関わらず、発言の多くは社会科学者などから出され、コンピュータ技術者自身が発するものがあまりなかったということがありました。
そのため、「起こりうる最悪の状況」といった調子のものが多く、それをマスコミも喜んで?取り上げるというパターンでした。
欧米では著名な学者も含め技術から見た発言が多かったことと比べるとその差が大きかったそうです。
ITリスクとして捉えるということになると、「リスク学」の研究成果を参照することになります。
リスク学は中西準子さんや松原純子さんが環境問題や自然科学分野で進めて来ていますが、ITリスクというものはこれらとは少し違う特性があるようです。
人の生命や健康に直接被害を及ぼすことは少ないので、中西さんの確立した「損失余命」といった指標を使うことはできませんが、被害金額というものの算定は容易であるということはありそうです。
ITリスクの特徴的な面では、個人情報漏えいリスクというものがあります。
ITでは個人情報を扱うことが多いために、その攻撃目標もそれを盗むと言ったことになることが多いようです。
この場合、現在の「個人情報保護法」というものの関わりも強くなってきます。
IDやパスワードなどを暗号化するということも多いのですが、暗号の危殆化と言う問題も大きいようです。暗号が簡単に解けてしまうようになることなのですがコンピュータ能力が飛躍的に向上することで暗号が意味がなくなるということも起きるようです。
ITリスクを専門に扱うITリスク学というものをもっと多くの人間が専門に研究しなければならないのですが、まだまだの態勢のようです。
さらに、一般の人々のリスクに対する姿勢も整っていません。
パスワードの取扱、廃棄するコンピュータのデータなど、基礎的な知識も普及していないようです。
大規模なサイバーテロというものも起きるかもしれません。
社会がITに依存することが増えるからこそ、リスクをきちんと考えるべきでしょう。