情報セキュリティのリスクの大きさをどのように評価するかということについて

■情報セキュリティのリスクの大きさをどのように評価するかということについて、ひとつの驚くべき方法があるらしい。リスクによって影響をうける可能性のある人たちに、そのリスクの大きさの感覚を質問する。そして、回答を平均すれば、リスクの大きさが評価できるという見方だ。
なぜこの方法が「驚くべき方法」なのかと言えば、もしこの方法が正しければ、リスクの評価そのものが不要になってしまうからだ。というのは、リスクの大きさの感覚を質問する代わりに、最初から対策の優先順位を質問すれば十分だからだ。わざわざリスクの大きさを質問して、リスクを重要度にしたがって並べて、個別のリスクに対応する対策を書き出して、対策の優先順位をつけるという非効率な方法を採用する必要はまったくない。初めから、対策の優先順位を質問すれば、そこにいたるまでのステップをすべて省略できる。
ところが、こんなセキュリティリスクの評価方法を顧客に提案して実施するコンサルティング・ファームが実在するのだから、困ったものである。