サイバーセキュリティにおけるポジティブリスク

Greg Bell (Amazon Web Services (AWS))

2022 年 5 月 (ドキュメント履歴)

ほとんどの人は、損失への露出や有害事象の管理など、リスクを否定的な観点から考えています。ただし、国際標準化機構 (ISO) は、リスクを「不確実性が目標に及ぼす影響」と定義します。この場合、その影響はプラスにもマイナスにもなり得ます。

実際のリスクは業界によって異なる場合がありますが、この標準的な定義はすべての業界に適用され、各業界にはマイナスのリスクとプラスのリスクがあります。サイバーセキュリティ業界において、ネガティブリスクは潜在的な損失を指し、ポジティブリスクは資産、知識、改善、またはデータの潜在的な利益を指します。

プロジェクト管理ドメインと ITドメインは、事業報告や事業上の意思決定におけるポジティブリスクを評価する戦略を導入しています。しかし、サイバーセキュリティ業界はまだこれを一般的な方法として導入しておらず、多くのリスク管理方法論は引き続きネガティブリスクに重きを置いています。ポジティブリスクについて議論するにしても、手短に済ませてしまいます。

従来、サイバーセキュリティはリスクをネガティブな観点からしか見ていませんでした。サイバーセキュリティにおける一般的なネガティブリスクには、次の 2 種類があります。

ダウンサイドリスク — 脅威など外部要因による損失への露出。例えば、サイバー犯罪者はセキュリティインシデントを発生させたり、その可能性を高めたりする可能性があります。
アップサイドリスク — 変化から生じる脆弱性など、利益を追求している間の損失への露出。例えば、IT 戦略を実施しているときに、セキュリティインシデントの可能性を不用意に高めてしまう可能性があります。アップサイドリスクはポジティブリスクと同じではありません。アップサイドリスクは利益を追求している間に発生するものの、損失の可能性に重きを置いています。

最近まで、サイバーセキュリティはネガティブリスクのみを考慮しており、リスクの定義は潜在的なマイナスの結果に重きを置いていました。ポジティブリスクは、リスクの特定を始めた時点での潜在的なプラスの結果に重きを置いています。ポジティブなリスクを除外すると、サイバーセキュリティにおけるプラスの結果を認識できなくなります。ネガティブなリスクに重点が置かれているため、一般的に経営幹部はサイバーセキュリティを予測的ではなく事後的であると認識し、サイバーセキュリティがビジネスに寄与するプラスの成果を過小評価しています。

このドキュメントでは、サイバーセキュリティ業界にとってのポジティブリスクを定義し、サイバーセキュリティ戦略にポジティブリスクを含めることのメリットと重要性について説明します。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

ポジティブリスクのメリット