意味も分からず2ちゃんねるを規制していませんか？：ビジネスに差がつく防犯技術（7）（2/2 ページ）

[杉浦司，杉浦システムコンサルティング,Inc]

リスクの発見、特定のために知っておきたいHAZOPとガイドワード

　リスクマネジメントシステムの成否は、何といってもリスクそのものを発見・特定できるかという点に多くがかかっているといえる。

　リスクが見えないから何もしないのであって、リスクがきちんと把握できれば、組織者は動けるものである。何やらはっきりしないが情報セキュリティや内部統制が必要だといわれてもピンとこないのは当然なのだ。

　リスクの発見・特定のために大変有効なのが、過去事故事例の分析やヒヤリハット報告内容の分析である。そして、特に知っておいていただきたいのがHAZOP（Hazard and Operability Study）とガイドワードだ。

　HAZOPは危険シナリオ分析手法の1つで、化学プロセスにおける複数の独立した事象が複雑に絡む故障を取り扱うために開発された手法であり、設計仕様から逸脱した運転を行った場合に生じるハザードとその原因を解析して、防護策を検討しようというものである。

　HAZOPでは「no」「more」「less」といったガイドワードと、プロセスパラメータ（温度や圧力など）を組み合わせることによって、「温度が低過ぎる」といった異常を警告できる。例えば、ガイドワードには、「no、not（何もしない）」「more（多過ぎる）」「less（少な過ぎる）」「as well as（〜と同じ）」「part of（足りない）」「reverse（逆さま）」「other than（違う）」といったものがある。

　ガイドワードを使えば、「危ない」とか「不適切だ」といったあいまいな概念をクリアなものにすることができるのだ。これを応用すると、アクセス管理であれば、「派遣社員がアクセスできるシステム範囲が多過ぎる」「退職した社員が退職日を越えて社内システムにアクセスできる」「不正アクセスの形跡がログに残っているのに何もしていない」といった感じになるだろう。

次回予告

　今回は防犯技術のフレームワークとして、JIS Q 2001「リスクマネジメントシステム − 構築のための指針」の内容について詳しく解説した。

　その中で、リスクマネジメントシステムのための仕組みとして、リスクコミュニケーションが重要であると述べた。機能していないグループウェアは大変危険だが、リスクコミュニケーションにITを利用すること自体は間違ったことではない。

　BAM（ビジネスアクティビティモニタリング）のように、情報システムを通じて現場の状況がリアルタイムに把握できるような仕組みも登場してきている。次回は、防犯技術として情報システムをいかに利用すべきかについて考察する。見えない敵は恐ろしいが、情報システムによって可視化された敵ならば対応が可能になる。