リスクを考えるキーワード=「ハインリッヒの法則」
みなさん、おはようございます。こんにちは、こんばんは。そして私は、徹夜明けです。某アニメのロボットと間違われがちなイニシャルの、社内SEのM・Sです。
さて、本日お届けしたいテーマは、「油断」です。
みなさんも、ちょっとした「油断」が思わぬ事態を招いてしまった経験をお持ちでは?
- 目次
災難は、ちょっとした「油断と過信」から起こる
たとえば僕には、こんな幼い日の思い出があります。ドライブ中、トイレに行きたくなった僕ら家族は、駐車場のないコンビニの路肩に駐車して、用を足しに行きました。たったの5分、戻ってきたら、車の横にパトロール中の警官が......! 短時間でも、駐車違反は駐車違反です。「少しくらい大丈夫だろう」という父のほんの少しの油断がなければ、母はあんなに怒ったりはしなかったはず......。
ほかにも、「連勝中のチームが、負けるはずがなさそうな下位チームに大敗した」「たまたまストーブを切らずに家を出たら、ボヤ騒ぎに......」などなど、ちょっとした油断や過信が大事件を招くことは、とてもよくあります。いえ、むしろ、ほとんどの事故がちょっとした油断・過信を原因としているといってもいいほどです。
リスクを考えるキーワード:「ハインリッヒの法則」
みなさんは、「ハインリッヒの法則」というのをご存知でしょうか。別名、「1:29:300の法則」とも言います。これ、何の比率を示しているか、わかりますか?
これは、ハーバート・W・ハインリッヒというアメリカの安全技術者が提唱した、労働災害の発生に関する経験則の考え方です。
この比が示すのは、〈1件のきわめて重大な事故のウラには、29件の軽微な事故が。そしてさらにそのウラには、300件ものいわゆる「ヒヤリ・ハット」(あやうく大事故に発展しかねなかった、小さな異常事態の発見)が起きている〉ということです。
もともとこれは工場での労働災害の発生数を調査したことで得られた経験則でしたが、情報漏洩など、情報セキュリティにおける「インシデント」(※)においても、同じことが言えます。
※インシデント(incident):安全を脅かす(脅かすおそれのある)事故・事件などの事態のこと。。
よく、深刻なレベルの情報漏洩などが、ニュースになることがありますよね。「ハインリッヒの法則」で考えれば、そのウラには"少しの油断"による約300件にも及ぶ「ヒヤリ・ハット」が起きていたことがうかがえます。また逆に、日々「あわや大惨事になりかねない」事態が、職場のすみずみで何件も同時多発しているかもしれないわけです。......それを考えると、なんだか少しヒヤッとしませんか?
「ちょっとだけなら......」それが危険なんです。
情報漏洩などのインシデントがどのようにして起こっているか、考えてみたことはありますか?
たしかに、サイバー攻撃など、防ぎきれない外部からの不正なアプローチが原因となることもありますが、
その多くは、「個人の日常的なうっかりミス」が原因となっているんです。
「PCには高いアンチウイルスソフトを入れてるし、よほどのことがなければ大丈夫!」
「会社のIT・セキュリティ管理部門は優秀だから、何かあってもなんとかしてくれる」
「漏れたら困るような、価値あるデータを扱っているわけでもないし......」
こんな風に思ったことはありませんか?
どんなに高性能な道具や、セキュリティシステムを使っていても、
それを操作する「人」のほうが性能を過信して油断していたら、意味がありません。
とくに、いわゆるのぞき見をする「ショルダーハッキング」などのシステムを介さない情報詐取(「ソーシャル・エンジニアリング」......くわしくはこちらの記事へ!)や、増加傾向をたどる「標的型攻撃メール」などの巧妙な「なりすまし」行為などは、システムの力に頼るのではなく、"私たち"が意識して回避していく必要のあるリスクです。
【あわせて読みたい】
「からだの健康」と「セキュリティ」の意外なつながり
情報セキュリティの「リスク」チェッカーであなたを診断!
「井戸端会議」に要注意!:日常に潜む情報漏洩のリスク
昔の人は言いました、『備えあれば憂いなし』と。
「たった1パーセントのリスクが、社運を左右する」ことだって、決してありえないとはいえません。
一瞬たちどまって、あなたの心にひそむ「油断と過信」を振り返ってみてくださいね。