【CIO】【経営企画部】【情報システム部】

連載

ビジネスに差がつく防犯技術（7）

意味も分からず2ちゃんねるを規制していませんか？

杉浦司

2008/6/10

前のページ｜1　2｜

リスクの発見、特定のために知っておきたいHAZOPとガイドワード

　リスクマネジメントシステムの成否は、何といってもリスクそのものを発見・特定できるかという点に多くがかかっているといえる。

　リスクが見えないから何もしないのであって、リスクがきちんと把握できれば、組織者は動けるものである。何やらはっきりしないが情報セキュリティや内部統制が必要だといわれてもピンとこないのは当然なのだ。

- PR -

　リスクの発見・特定のために大変有効なのが、過去事故事例の分析やヒヤリハット報告内容の分析である。そして、特に知っておいていただきたいのがHAZOP（Hazard and Operability Study）とガイドワードだ。

　HAZOPは危険シナリオ分析手法の1つで、化学プロセスにおける複数の独立した事象が複雑に絡む故障を取り扱うために開発された手法であり、設計仕様から逸脱した運転を行った場合に生じるハザードとその原因を解析して、防護策を検討しようというものである。

　HAZOPでは「no」「more」「less」といったガイドワードと、プロセスパラメータ（温度や圧力など）を組み合わせることによって、「温度が低過ぎる」といった異常を警告できる。例えば、ガイドワードには、「no、not（何もしない）」「more（多過ぎる）」「less（少な過ぎる）」「as well as（～と同じ）」「part of（足りない）」「reverse（逆さま）」「other than（違う）」といったものがある。

　ガイドワードを使えば、「危ない」とか「不適切だ」といったあいまいな概念をクリアなものにすることができるのだ。これを応用すると、アクセス管理であれば、「派遣社員がアクセスできるシステム範囲が多過ぎる」「退職した社員が退職日を越えて社内システムにアクセスできる」「不正アクセスの形跡がログに残っているのに何もしていない」といった感じになるだろう。

■次回予告

　今回は防犯技術のフレームワークとして、JIS Q 2001「リスクマネジメントシステム－構築のための指針」の内容について詳しく解説した。

　その中で、リスクマネジメントシステムのための仕組みとして、リスクコミュニケーションが重要であると述べた。機能していないグループウェアは大変危険だが、リスクコミュニケーションにITを利用すること自体は間違ったことではない。

　BAM（ビジネスアクティビティモニタリング）のように、情報システムを通じて現場の状況がリアルタイムに把握できるような仕組みも登場してきている。次回は、防犯技術として情報システムをいかに利用すべきかについて考察する。見えない敵は恐ろしいが、情報システムによって可視化された敵ならば対応が可能になる。

筆者プロフィール

杉浦司（すぎうらつかさ）
杉浦システムコンサルティング,Inc　代表取締役
京都生まれ。
MBA／システムアナリスト／公認不正検査士
・立命館大学経済学部・法学部卒業
・関西学院大学大学院商学研究科修了
・信州大学大学院工学研究科修了

京都府警で情報システム開発、ハイテク犯罪捜査支援などに従事。退職後、大和総研を経て独立。ファーストリテイリング、ソフトバンクなど、システム、マーケティングコンサルティング実績多数。

■要約
「2ちゃんねる」は危ないからとフィルタリングをかけたり、外部攻撃が怖いからファイアウォールを設置するといった処置を取る企業が多いが、「その対策をなぜ行うのか？」を考えたことがあるだろうか。「企業を危険から守るためには何を考えなければいけないのか？」について、今回は説明する。

危険には、損失を発生させる間接的な要因を指す「ハザード（hazard）」、ハザードによって引き起こされる事故である「ペリル（peril）」、ハザードとペリルが原因となって損失が発生する可能性を指す「リスク（risk）」の3種類があることを認識しなければならない。

危険への対策では、阪神・淡路大震災などの教訓から生まれたリスクマネジメントフレームワークである「JIS Q 2001」が有効だ。JIS Q 2001では、7つの原則を挙げて対策を説明している。また、リスクマネジメントシステムの成否は、リスクそのものを発見・特定できるかがポイントで、HAZOPなどを活用するとよい。