トップ　城の科学　陰暦　異表記外来語　チェス　和錠　中国旅行　しごと　便利帳　リンク

リスクマネジメント論

　駒澤大学経営学部 2010 年度

作成 2010-06-20 → 更新 2010-07-10　

講師：石名坂邦昭教授
教室： (月７) 2研-102, (金１) 1-404

第 5 回分の代講 (6/21, 6/25)：中川淳平
第 6 回分の代講 (7/05, 7/02)：西村和夫
第 7 回分の代講 (6/28, ----)：中野香織
第 8 回分の代講 (7/12, 7/09)：猿山義広

授業中は，ほかの人の迷惑にならない限り何をしても構わないというのが，西村（第 6 回分の代講）の受講者に対するポリシーです．

西村は，質問のメールを受け付けます．

授業で用いる資料

参照先の方々に：利用させていただきありがとうございます．皆で似たような教材を作らず互いに利用しようというのが，教材についての西村のポリシーです．西村は，Wikipedia に書くことなどで貢献しているつもりです．西村が作った教材で役にたつものがあれば，ご自由にリンクなさってください．

↓別ページが開く．オンライン百科事典 Wikipedia の参照が多い．

授業では，文字の大きさを 150～200％に拡大して提示しています．

背景色が白／枠が緑色の部分が，西村の授業範囲です．授業中に，内容のどこが重要か，どこに誤りがあるかを話します．（各リンク先を読んで復習することを勧めます．欠席した場合にも，リンク先を読めば補えるでしょう．）

0. ガイダンス

0.1 西村の自己紹介, この Web ページへのたどり着き方 [5 分] 19:40～19:45

0.2 事例と対策：簡単！やさしいセキュリティ教室（三井住友銀行）

0.3 各種テキスト（オンライン）

先進企業から学ぶ事業リスクマネジメント実践テキスト.pdf - 経済産業省
IT システムのためのリスクマネジメントガイド.pdf - アメリカ国立標準技術研究所
リスク・マネジメントガイドブック - 全国公立文化施設協会
“リスクインテリジェンス”- Deloitte トーマツ

0.4 社長の仕事はリスクマネジメントと危機管理

故松下幸之助「心配して，心配して，安心しろ」

情報セキュリティ A/B から（節番号も継承）
1. 情報

1.1 認識の変化：経営の対象＝人・物・金・情報

1.3 情報の資産価値, 資産価値の評価（例）

事例：評価サービス

2. リスクと情報セキュリティ [30 分] 19:45～20:15

2.0 リスク

語源： risk
定義：リスク, Risk（英語版 Wikipedia）

2.1 情報セキュリティ

定義：情報セキュリティ　（小テスト１）
用語：リスク, 脆弱性, 脅威 (+), インシデント, 対策, 一覧
住宅の例：火災, 可燃物質, タバコ, 　昨晩の火事,　　難燃物質（禁煙）
情報の例：漏洩, 持ち運ぶ, 置き忘れ, 先日の漏洩未遂, 禁帯出（暗号化）
脅威：災害，障害；不正使用，DDoS攻撃（サイバーテロ）

2.4 リスク管理：リスク分析 → リスクアセスメント + ++

対応方針：回避，移転（転嫁），軽減（最適化），保有（受容）, + ++

2.5 KT 法による問題解決 - リスクの想定

2.6 歴史：脆弱性の公開 +

4. 組織の取組み

｛第 5, 7 回分の代講用資料｝

4.3 企業の取組み（事例）

4.4 国際規格 +： ISO/IEC 27000 シリーズ, PDCAサイクル

情報セキュリティマネジメントシステム (ISMS)
国際規格の戦略的な利用.pdf, EUの国際規格化戦略 +

7. 情報セキュリティマネジメントシステム (ISMS) + (++) [20 分] 20:15～9:35

(1) ISO/IEC 27001 "ISMS - Requirements"

(2) ISO/IEC 27002 "Code of practice for information security management"

日本工業規格 ↓

(1') JIS Q 27001“ISMS ― 要求事項”（旧：ISMS認証基準）

(2') JIS Q 27002“情報セキュリティマネジメントの実践のための規範”（旧 JIS X 5080）

日本工業規格／管理システムの一覧セキュリティ技術の一覧

7.1 JIS Q 2001:2001“リスクマネジメントシステム構築のための指針”

8. 内部統制とコーポレートガバナンス

8.1 背景：コンプライアンス (comply) +, SOX法, 日本版SOX法

内部統制, コーポレート・ガバナンス (govern)
情報セキュリティガバナンス
資料： [8. ノート]（担保）

リスクマネジメントと内部監査

経営科学概論から
10. 抜取り検査

10.1 生産者危険と消費者危険

		判　　　定
		合格	不合格
製品	良品	○	生産者危険（第１種の誤り）
製品	不良品	消費者危険（第２種の誤り）	○

2 種類のリスク（危険）がある．

10.2 保険はミニマックス戦略(?) [10 分] 20:35～20:45

平均的に（期待値としては）損をすることが確実な保険に，なぜ加入するのか．

保険の加入と事故の発生　（単位：万円）

損害額		事　　故		損　　害
損害額		発生	非発生	最大値	期待値
保険	加入	* 1002	2	1002	2.1
保険	非加入	3000	0	3000	0.3
生起確率		0.0001	0.9999	0.0001	―

* 3000 万円の損失が発生したが，2000 万円の保険金が支払われたので，実際の損害額を 1000 万円に抑えることができた（＋保険料 2 万円）．

実際に，１軒の家が１年間に火災に遭う確率は，0.0001 程度．

最大値のうち最小のものを選ぶ＝ min (max (損害)) ＝ミニマックス戦略
ただし，ゲーム理論の枠組みでは，相手は確率的ではなく，自分と同じ判断に基づく行動をする．

バックアップファイルの保存と事故の発生

損害		ディスククラッシュ
損害		壊れる	壊れない
バックアップファイル	保存	回復可能	作業時間（10秒×回数）
バックアップファイル	非保存	ファイル紛失	問題なし