リスク認知とトレードオフ

no extension

繰り返し語られていることではあるけれど。

面白いのはこの表。

本論文では、オンラインにおける安全性を確保するために行っている対策について、セキュリティ専門家 231 人と一般のインターネットユーザー 294 人に対して行った調査結果から、異なる 2 つのグループからの回答をもとに、それぞれの対策や判断の違いと理由をまとめたものです。
以下は、最も回答が多かったセキュリティ対策を、エキスパートと一般ユーザーで分類した表です。
via エキスパートたちのセキュリティ対策
一般ユーザ 順位 セキュリティ・エキスパート
アンチウイルスソフトを使う 1 ソフトウェアアップデートをインストールする
強固なパスワードを使う 2 サービスごとにユニークなパスワードを使う
頻繁にパスワードを変える 3 2段階認証を使う
知ってるウェブサイトしか利用しない 4 強固なパスワードを使う
個人情報は公開しない 5 パスワード管理ツールを使う
「エキスパートたちのセキュリティ対策」より

これとよく似た表があったな,と思ったら吉川肇子さんの『リスクとつきあう』という本の中にあった。 それは「危険と感じられる活動や科学技術」を30項目挙げ順位をつけたものであるが,全部を載せるのは無理なので,大学生のワースト3とトップ3を挙げ,それに対する専門家の順位を並べてみる。

活動や科学技術 大学生順位 専門家順位
原子力 1 20
拳銃 2 4
喫煙 3 2
動力草刈り機 28 28
予防接種 29 25
水泳 30 10
吉川肇子著『リスクとつきあう』 p.77

ちなみに専門家の1位は「自動車」である。 もっともこの表は1987年の論文のもので現在とは知見が異なると思うけど1,注目すべきは一般の人と専門家とのリスク「感覚」のギャップである。

リスクは「生起確率×脅威の大きさ」で測るが,私を含め一般の人はこの「感覚」に慣れていない。 何らかの認知バイアスが必ずかかってしまう。 それがこのギャップとなって顕われるのだと思う。

だからこの表を見て「専門家の言うとおりにしなきゃ」と考えるのは早計で2,自身のリスク「感覚」を磨いていくことが重要である。 本当はそういうのは義務教育のうちにやっとくべきなんだろうけどね。

さらに言うなら,個人と営利企業と国家とではリスクに対してそれぞれ執るべき行動が異なる。 何故なら,それぞれの「守るべきもの」が異なるから。

個人にとってまっさきに重要なのはプライバシーと財産だろう。 営利企業は個人と似ているが,賢い企業はリスクをお金に換算できる。 故に「リスクはチャンス」なのだ。 そして国家にとっては「軍事」を含めた包括的なものであり,特定の個人や企業との利害には(基本的には)興味が無い3

そういえば最近こんな記事があった。

国家にとって「サイバー・セキュリティ」の防衛力の高さは「サイバー攻撃」力の高さに直結する(たとえそれを行使する気がなくとも)。 だから各国は「サイバー・セキュリティ」の向上を目指さざるをえない。 「サイバー・セキュリティ」防衛力の高さを誇示することが他国に対する示威行動になる。 この記事の最後の文章を挙げておこう。

日本で〇〇万人のセキュリティ技術者が不足しているという報道があるのと同じように、韓国でも〇〇万人(韓国では10万人説が主流)のセキュリティ技術者が不足しているとマスコミは報道したがるそうです。
それでも中の人は、サイバーセキュリティは数ではなく質だということをきちんとわかっていて、韓国トップクラスの技術者が世界トップクラスになるための工夫を続けています。
via 今年度のCTFを無双した韓国チーム、その強さの秘密

ホンマ,日本年金機構の不始末にかこつけて「セキュリティ戦略」を利権化しようという意図は分かりやすいが,単に動員に頼るんじゃなく,本当の意味での「戦略」をきちんと企図して実行しないと,まぁた世界から取り残されるよ。

愚痴はともかく,ただ政府やセキュリティ企業や(自称を含む)専門家に従えばいいというわけではなく,自分にとって何が大事で何を守るべきかを客観的に把握できていなければならない。 「彼を知り己を知れば百戦殆からず」である。 孫子だっけ?

最後にリスクと利便性はトレードオフできない。 リスクとトレードオフできるのはリスクのみ。 リスクをトレードオフして「全体最適化」することが重要なのである4。 故に優先順位がとても重要になる。 そこで最初の表に戻るわけだ。

「辞書攻撃」で簡単に解読できるようなパスワードを「強固」と思い込んで必死で暗記したのに,何かの拍子で忘れてしまってサービスが使えなくなった上に攻撃者に乗っ取られる。 なんてお馬鹿なことにならないように。 使える道具はきっちり使って人間の弱さや曖昧さを許容しつつ排除するよう構成するなら,個人にとっての「サイバー・セキュリティ」はそれほど難しいことではない。

参考図書

photo
セキュリティはなぜやぶられたのか
ブルース・シュナイアー 井口 耕二
日経BP社 2007-02-15
評価

暗号の秘密とウソ 新版暗号技術入門 秘密の国のアリス チャイナ・ハッカーズ 暗号解読―ロゼッタストーンから量子暗号まで 宇宙創成〈上〉 (新潮文庫)

日本語のタイトルはアレだが中身は名著。とりあえず読んどきなはれ。

reviewed by Spiegel on 2014/09/14 (powered by G-Tools)

photo
環境リスク学
中西準子
日本評論社 2013-08-01
評価

食のリスク学 基準値のからくり 安全はこうして数字になった (ブルーバックス) 21世紀の資本 丸山眞男セレクション (平凡社ライブラリー700) 「ゼロリスク社会」の罠~「怖い」が判断を狂わせる~

環境リスクのみならず「リスク」全体に目配せした良書。著者の自伝的作品でもある。

reviewed by Spiegel on 2016-02-03 (powered by G-Tools)

photo
リスクとつきあう―危険な時代のコミュニケーション (有斐閣選書)
吉川 肇子
有斐閣 2000-03
評価

リスクコミュニケーション (エネルギーフォーラム新書) 健康リスク・コミュニケーションの手引き リスクコミュニケーション―前進への提言 「リスク」の食べ方―食の安全・安心を考える (ちくま新書) リスクコミュニケーション論 (シリーズ環境リスクマネジメント)

リスク・コミュニケーションについて。内容は古いがまだまだ使える。

reviewed by Spiegel on 2016-02-03 (powered by G-Tools)


  1. たとえば専門家の間では長い間,飛行機よりも自動車のほうがリスクが高いとみなされていたが,近年では飛行機のほうがリスクが高いのではないかという意見もある。飛行機事故の生起確率に対して事故時の被害の大きさのほうがずっと大きいかららしい。 [return]
  2. いや専門家の意見を参考にするのはいいことだと思うけど,今時は専門家もピンキリだからなぁ。 [return]
  3. つまり安倍首相が「国民の安心安全のために」というときの「国民」は個人を指しているわけではない。そしてこれらの思惑は時に衝突する。 [return]
  4. だからリスクをお金に換算するというのは理に適っていると言える。 [return]