より正確なリスク分析のために
定性的な評価に加えて定量的な評価を

ISMS適合性評価制度などで、情報セキュリティに関するリスクをチェックする仕組みはある程度整ってきました。ただ、これらは定性的な評価が中心。企業にすれば、セキュリティ対策にも費用対効果を求めて当然ですから、私は想定されるセキュリティ事故の影響を定量的に、具体的な被害額として評価する仕組みがつくれないかと考え、現在は的確に金額に換算するための考え方を研究テーマにしています。このように「今までのやり方でいいのか？」と見直すための幅広い視野を、多くの方との情報交換を通じて得られたことが、この大学院で学んだメリットだったと思います。

社外での被害額と社内での被害額
同時に考えることが大事だと気づいた

指導教員の内田先生からは「たとえばウイルス被害なら、社内でリカバリーに費やす際のロスも被害額に換算すべき」とアドバイスをいただきました。私は対外的な被害額を中心に考えていたので、こうした視点は非常に有益でしたね。

目標を細かく決めて達成しやすく
時間を有効に使うことが続けるコツ

私も含め、この大学院の在校生の多くは社会人。日中はどうしても仕事で忙しいため、できるだけ勉強の目標を細かく区切って、短時間でも達成できるようにしています。また通勤・通学途中の30分程度でも考えを整理する時間に充てるなど、時間の有効活用も大事なポイントだと思いますね。