潜在的な損失は何か考える 米RSAのCTO(最高技術責任者)で同社ラボの技術開発を統括する、 ズルフィカール・ラムザン(Zulfikar Ramzan)氏 かねてからラムザン氏は、「『リスク』と『脅威』を混合している人は多いが、両者は根本的に異なる。両者を混合してセキュリティ対策を実施すると、本当に守るべき資産が曖昧になる」と説いてきた。(関連記事 https://enterprisezine.jp/article/detail/10817 ) リスクとは、脆弱性が悪用される可能性がどのくらいあるか。そして、脆弱性が悪用された時のインパクトはどのくらいかを総合的に判断して割り出す。同じ企業であっても、どの組織に属するかによってリスクの指針は異なる。「サイバーリスクそのものを定量化することは難しい。なぜなら、その“指針”は1つではないからだ」(ラムザン氏) リスク管理で重要なのは、自社にとっ