前回の続きです。
セキュリティ対策を検討する流れとして、STEP1からSTEP3の順に進めていく方法を示しました。
今回はそのうちのSTEP1について、具体例を示しながら詳細に説明していきます。

イメージしてもらいやすくするために、簡単な例を示します。

まずは、会社にある情報資産に対して発生すると困ること（問題となる事象）とそれが発生したときの影響を洗い出します。
ここで大切なのは、事象と結果（影響）を分けて考えることです。

例えば、「顧客情報が流出する」という事象はもちろんあってはならないことで困ることではありますが、それ自体が困ることではなくて「顧客情報が流出した結果」→「信用を失い」→「顧客を失い」→「売上が下がる」から困るということになります。

極端な言い方をすれば、（顧客情報が流出した事象を公表しても）顧客からの信頼も失われず、売り上げが減ることがなければ、「顧客情報が流出する」は困ることではないということになります。（現実にはあり得ませんが。）

また、ここでは「会社として起こっては困る事象」と「それを引き起こす原因」は分けて考えます。例えば、「外部から不正アクセスを受ける」ということも困ることではありますが、これは「顧客情報が流出する」原因の一つとして考えます。つまり、会社の情報資産に対して、「盗難」「紛失」「改ざん」といったことを困る事象として分類して、これらを引き起こす原因とは切り分けて考えます。
こういった困る事象が発生するきっかけ（原因）については次のステップで考えるので、ここでは一旦横に置いておきます。

影響についても、一つの影響が原因となり、別の影響（結果）につながっていくので、それぞれを矢印で繋げていきます。
例では説明のために簡略化して書いていますが、問題となりうる事象やその影響は様々なものがあり、その内容も会社によっても異なってくるので、関係部署の担当者を集めてどんどん洗い出していく必要があります。

最初は、「原因」「事象」「影響」の仕分けが難しく感じるかもしれませんが、とりあえず思いつくものを付箋などでどんどん書き出していったほうがよいです。ある程度出てきた段階で、それらを見比べながら「これは影響ではなく事象だな」とか見直せばよいのです。

今回はここまで。次回はSTEP2の「問題の事象が発生し得る原因の洗い出し」について書きます。