前回に続き、コトラーの「購買プロセスの5段階モデル」に従った経営層へのセキュリティ対策訴求について解説する。まずは前回のおさらいから始めよう。
経営層に対してセキュリティ対策の必要性を訴求するには、「危険だ」と定性的に訴えるだけでは効果がない。経営層が意思決定をしやすいように「購買プロセスの5段階モデル」に従って必要性を訴求し、「各フェーズでそれぞれ何をすべきなのか」をしっかり説明することが重要だ。特に最初のフェーズである「問題認識」については、リスクを定量的に点数化して明確化することが欠かせない。ここまでが前回の要点だ。
今回のテーマは、この「問題認識のフェーズにおいてどのようにリスクを点数化すればよいのか」である。今回の内容を把握することで経営層の説得に向けて大きな一歩を踏み出せる。その分、難易度が少々高いかもしれないがぜひ理解してほしい。
FMEAを応用したリスクの点数化
リスクを点数化する方法はいくつかある。ここではFMEA (Failure Mode and Effect Analysis : 故障モードと影響解析) をベースにしたリスクの分析について解説する。情報セキュリティと相性の良い方法で、信頼性工学で使われている。
FMEAには「リスクの定量化」と「想定外の防止」という大きく2つの効用がある。
FMEAを使うと、危険度を「リスク優先度」という値で算出し、危険度を視覚的に分かりやすくすることができる。「どれくらい危険なのか」に対する認識のズレをなくし、定量的にリスクを分析する。これが「リスクの定量化」である。
もう一つの「想定外の防止」もFMEAの効用だ。FMEAはシステムをその構成要素へ分解し、各要素に対して何が起こったらシステム的にどういった影響があるのかをボトムアップで考えていく。