Day 82 ネガティブなリスクとポジティブなリスク Negative vs. Positive Cyber Risk ― Governing Both Sides of Uncertainty
【シリーズ構造】柱F|リスクとガバナンス
本記事では、不確実性がもたらす 負のリスクと正のリスク、すなわち「脅威」と「機会」の両面を、サイバーリスクとしてどう捉え、どう統治するのかを考えます。
シリーズ全体マップ:人間のしなやかさ ― サイバー判断力のために
▶ 柱F|リスクとガバナンス 関連記事:
ネガティブなリスクとポジティブなリスク
― 不確実性の両側を統治する ―
Day 81 では、ひとつの前提を確認しました。
サイバーセキュリティリスクは、技術的な報告書ではありません。
不確実性を、経営の判断へと変換するための言葉です。
もし私たちの会話が、
「何がミッションを止めうるのか」
「どこに弱点があるのか」
「どこまでの損失を許容できるのか」
「次に、何をするのか」
に安定して答えられないとしたら、それはリスクを統治しているのではなく、ただ活動を記録しているだけです。[1]
Day 82 は、その次のブロックです。
共通のリスク言語を持ったなら、それを 不確実性の両側 に使わなければなりません。
リスクは、「悪いことが起きる可能性」だけではありません。
リスクとは、不確実性です。
それは、損失や停止、信頼の低下といった方向へ結果を押し下げることもあれば、スピードやレジリエンス、戦略的な優位性といった方向へ、結果を押し上げることもあります。
もし私たちが下振れのリスクだけを統治するなら、サイバーセキュリティはブレーキになります。両側を統治できたとき、サイバーセキュリティは 判断のためのシステム になります。[2]
「ポジティブなサイバーリスク」とは何か
── そして、何ではないのか
「ポジティブなリスク」は、新しい流行語ではありません。これは、ガバナンス上の小さな修正です。
ISO 31000 は、その前提をとても明確に示しています。リスクとは、「目的に対する不確実性の影響」であり、その影響は、ネガティブにも、ポジティブにも、あるいはその両方にもなり得る。[2]
これをサイバーセキュリティの文脈に置き換えると、違いははっきりします。
ネガティブなサイバーリスクとは、私たちの目的の達成を妨げるかもしれない不確実性のこと。たとえば、業務を止めてしまうランサムウェア、信頼を損なう情報漏えい。
一方で、ポジティブなサイバーリスクとは、目的の達成を後押しするかもしれない不確実性です。たとえば、強固なアイデンティティ管理によって安全なパートナー連携が可能になること、監視の高度化によってダウンタイムが減ること、セキュア・バイ・デザインによって開発のスピードが上がること。
これは、「セキュリティを軽視する」という話ではありません。
基準を下げることでもありません。
セキュリティは、意図して統治されてはじめて、動きを可能にするものだという認識です。そしてそれは、明確なガードレールがあってこそ成り立ちます。
CSF 2.0 は「二つの方向」を明確にしている
NIST CSF 2.0 は、この点を曖昧にしていません。
サイバーセキュリティのリスクマネジメントは、単にネガティブな事象を防ぐための活動ではない。それは同時に、ポジティブな機会を活かすことにも貢献し得る----そう、はっきりと書かれています。[1]
さらに重要なのは、リスクを低減するための取り組みそのものが、レジリエンス、信頼、意思決定の質といった、別の組織的価値を生み出し得ると明示されている点です。
これは、サイバーセキュリティにおける「良い状態」の定義を、根本から書き換えます。
「何も起きなかった」ことは、結果であっても、戦略ではありません。偶然かもしれないし、単に見えていないだけかもしれない。
実際に私は、「何も起きていないから大丈夫」と言われていた組織で、外部からAPTを指摘されて初めて事態に気づき、そこから3か月間、昼夜を問わないインシデント対応に追われた現場を何度も見てきました。見えないことは、安心ではありません。
成熟とは、不確実性の中で、判断が積み重ねられているかどうか。
それが、繰り返し、透明に、責任の所在や判断基準を伴って行われているかどうかに表れます。
サイバーリスクマネジメントとは、事故を起こさないことを証明する行為ではありません。
不確実な世界の中で、組織がどう考え、どう選び、その結果をどう引き受けてきたかを、説明できる状態をつくることです。
ガバナンス上の要件:機会をリスクの議論に含める(GV.RM-07)
CSF 2.0 は、期待水準についても明確です。
GOVERN 機能の「リスクマネジメント戦略」において、GV.RM-07 は次のように求めています。
戦略的な機会(すなわちポジティブなリスク)は、組織のサイバーセキュリティリスクの議論に含めなければならない。[1]
これは、理想論ではありません。
ガバナンス上の要件です。
より実務的なヒントとして、CSF Tools では、ストレッチ目標の特定、SWOT のような構造化手法の活用、ネガティブなリスクと並べてポジティブなリスクを優先付けすることなどが例として挙げられています。[3]
ここが、Day 81 から運用モデルへとつながる橋です。
私たちが整えた共通言語は、
「トップリスク」のためだけのものではありません。
「トップの機会」を語るための言葉でもあるのです。[1]
対応の対称性
― 規律は同じ、向きが違う ―
CSF 2.0 は、リスクへの対応の仕方についても明確です。
そのロジックは、実はとてもシンプルで、対称的です。
- ネガティブなリスクに対して、私たちは低減し、移し、避け、あるいは受け入れる。
- ポジティブなリスクに対しても、実現し、分かち合い、強化し、あるいは受け入れる。
どちらも、判断の基準は同じです。
影響の大きさと、起こりうる確率。[1]
重要なのは、この対称性を、はっきりと"見える形"にすることです。
ネガティブなリスク
――被害をどう扱うか
ネガティブなリスクに対して、私たちは次の選択肢を持っています。
- 低減・緩和する
発生確率や影響を下げる - 移す・分かち合う
保険、契約、パートナーを通じて移転する - 避ける
その活動をやめる、あるいは設計を変える - 受け入れる
リスク許容範囲内である場合に限って受け入れる
ポジティブなリスク
――価値をどう統治するか
一方で、ポジティブなリスクにも、同じように選択肢があります。
- 実現する
意図をもって決め、実行する - 分かち合う
共同投資、連携、外部委託を、明確な前提で行う - 強化する
価値が生まれる確率や規模を高める - 受け入れる
可能性は認識するが、今は投資しない
基準は同じ。
規律も同じ。
向きだけが違います。
この一貫性こそが、リスクを「怖いもの」から扱えるものへと変えます。
実務に落とす構造
― 二つの見方、ひとつのガバナンスリズム ―
必要なのは、二つのプログラムではありません。
二つの「見方」です。
ひとつは、下振れ側。
シナリオ、責任者、対応方針、残余リスク、監視シグナルを軸にした、見慣れた サイバーリスク登録簿。
もうひとつは、上振れ側。
多くの組織で抜け落ちがちな サイバー機会の登録簿です。
そこでは、次のことを明示します。
- 何を実現したいのか
- 誰にとって価値があるのか
- どんな新しい露出(リスク)が生まれるのか
- どんなガードレールが必要なのか
この二つを並べることで、防げる失敗があります。
「ビジネスチャンスだ」と言いながら、サイバー上の帰結だけが語られない、という失敗です。
リスクの隣に、機会を置く。
それだけで、議論の空気は変わります。
「許可をもらうための説明」から、選ぶための判断へ。
サイバーリスクマネジメントは、ここで初めて、経営の言葉になります。
会議で生き残る、ひとつのルール
ガバナンスのルールは、時間に追われる会議でも使えなければ意味がありません。
ひとつで十分です。
機会としては魅力的だが、新たに生まれるリスクが理解・管理されていないなら、
いったん止める。
ガードレールと監視シグナルを定義し、もう一度、判断の場に戻す。[1]
リスクが理解・管理されており、得られる価値が意味を持つなら、戦略的な機会として承認し、トップリスクと並べて追い続ける。[1]
これによって、
「安全です」という説明から、
「こう判断しました」と説明できる状態へ進めます。
明日へ
Day 81 では、判断を生むための「言葉」を整えました。
Day 82 では、その言葉を使って、下振れの被害と上振れの価値――本当に重要なものを統治する方法を見てきました。[1][2]
明日、Day 83 では、これをさらに具体的で、手に取れる形にします。
リスクがはっきり見えるようになれば、私たちはようやく、迷いではなく判断で前に進めるようになるからです。
今日からできること
リスクを "悪いことだけ" で考えない
サイバーリスクは不確実性そのものです。まずは、悪い結果(損失・停止・信頼低下)だけでなく、良い方向の影響(価値創出・スピード向上・レジリエンス強化)も整理してみましょう。これにより、セキュリティをブレーキではなく 意思決定システムの一部として使う視点が育ちます。
-----
Series Structure: Pillar F | Risk & Governance
This article focuses on how cyber risk and judgment are governed, shared, and trusted across the organization.
Series Overview -- Human Flexibility for Cyber Judgment
▶ Other posts in Pillar F (Risk & Governance):
- Day 81 | Building a Shared Language for Risk
- Day 82 | Negative vs. Positive Cyber Risk -- Governing Both Sides of Uncertainty
Negative vs. Positive Cyber Risk ― Governing Both Sides of Uncertainty
Day 81 established a simple operating premise: cybersecurity risk is not a technical report.
It is the language that turns uncertainty into leadership decisions.
If our conversations cannot reliably answer
what could stop our mission, where we are exposed, what level of loss is tolerable, and what we do next,
then we are not governing risk--we are merely tracking activity. [1]
Day 82 adds the next block to the system.
Once we share a common risk language, we must use it in both directions of uncertainty.
Risk is not only about bad things that might happen.
Risk is uncertainty that can push outcomes downward--loss, disruption, erosion of trust--or upward--speed, resilience, strategic advantage.
If we govern only downside risk, cybersecurity becomes a brake.
If we govern both sides, cybersecurity becomes a decision system. [2]
What "Positive Cyber Risk" Is--and What It Is Not
"Positive risk" is not a new buzzword.
It is a governance correction.
ISO 31000 gives us the anchor point:
risk is the effect of uncertainty on objectives--an effect that can be negative, positive, or both. [2]
When we translate that into cybersecurity, the distinction becomes clearer.
- Negative cyber risk is uncertainty that could prevent us from achieving our objectives--
ransomware that disrupts operations,
a breach that erodes trust. - Positive cyber risk is uncertainty that could help us achieve those objectives--
stronger identity controls that enable safe partner access,
better monitoring that reduces downtime,
secure-by-design practices that shorten delivery cycles.
This is not about "ignoring security" or lowering standards.
It is about recognizing that security, when governed deliberately, can enable movement rather than constrain it--
but only when it is paired with explicit guardrails.
CSF 2.0 Makes the Two Directions Explicit
NIST CSF 2.0 does not leave this implicit.
It states clearly that cybersecurity risk activities often focus on preventing negative events, but may also support taking advantage of positive opportunities, and that actions taken to reduce cyber risk can benefit the organization in other ways. [1]
That changes what "good" looks like.
"Nothing happened" is not a strategy.
Maturity shows up as disciplined decisions under uncertainty--made repeatedly, transparently, with owners and thresholds.
The Governance Requirement: Include Opportunity (GV.RM-07)
CSF 2.0 is explicit about expectations.
In the GOVERN function, under Risk Management Strategy, GV.RM-07 requires that:
Strategic opportunities (i.e., positive risks) are characterized and included in organizational cybersecurity risk discussions. [1]
This is not aspirational language.
It is a governance requirement.
If we want practical cues, CSF Tools points to examples such as identifying stretch goals, using structured methods like SWOT, and prioritizing positive risks alongside negative ones. [3]
This is the bridge from Day 81 to an operating model: the shared language we built is not just for top risks.
It is also for top opportunities. [1]
Response Symmetry: Same Discipline, Different Direction
CSF 2.0 is also explicit about how we respond to risk.
The handling logic is symmetrical.
For negative risks, organizations reduce, transfer, avoid, or accept.
For positive risks, organizations realize, share, enhance, or accept--based on the same considerations of impact and likelihood. [1]
Making that symmetry visible matters.
Negative risk -- managing harm
- Reduce / Mitigate
Lower the likelihood or impact - Transfer / Share
Shift exposure through insurance, contracts, or partners - Avoid
Stop the activity or change the design - Accept
Only when the risk is within tolerance
Positive risk -- governing benefit
- Realize
Commit and execute deliberately - Share
Co-invest, partner, or outsource with clarity - Enhance
Increase the likelihood or magnitude of benefit - Accept
Acknowledge the potential, but do not invest yet
Same standard.
Same discipline.
Different direction.
A Practical Structure: Two Views, One Governance Rhythm
We do not need two programs.
We need two views.
On the downside, a familiar Cyber Risk Register, built around scenarios, ownership, responses, residual risk, and monitoring signals.
On the upside, a Cyber Opportunity Register--often missing--where we make opportunity explicit: what we want to achieve, for whom, what new exposures it introduces, and what guardrails must be in place.
This prevents a common failure mode: calling something a "business opportunity" while leaving the cyber consequences unnamed.
Putting opportunity next to risk changes the tone of the discussion.
It moves us from permission-seeking to informed choice.
One Rule That Survives Real Meetings
Governance needs rules that work under time pressure.
A simple one is enough:
If an opportunity is real, but the new exposures are not understood, we pause--define guardrails and monitoring signals, then return. [1]
If exposures are controlled and the benefit is meaningful, we approve it as a strategic opportunity and track it alongside our top risks. [1]
That is how we move from "we're secure" to "we can explain our decisions."
Tomorrow
Day 81 was about building a language that produces decisions. Day 82 is about using that language to govern what actually matters: downside harm and upside advantage. [1][2]
Tomorrow, Day 83, we make this even more concrete and practical.
Because once we can see risk clearly, we can finally decide--without guesswork.
References 出典・参照文献
[1] National Institute of Standards and Technology. (2024). The NIST Cybersecurity Framework (CSF) 2.0 (NIST CSWP 29). https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf
[2] ISO. (n.d.). ISO 31000 risk management. https://www.iso.org/iso-31000-risk-management.html
[3] CSF Tools. (n.d.). GV.RM-07: Strategic opportunities (i.e., positive risks) are characterized and are included in organizational cybersecurity risk discussions. https://csf.tools/reference/nist-cybersecurity-framework/v2-0/gv/gv-rm/gv-rm-07/