RSS
Human Hardeningとサイバー判断力

攻撃に対して「ハックされにくい人間」に

Day 85 リスク許容度とは何か ―判断を本当に変える問い Defining Risk Tolerance -- The Questions That Actually Change Decisions

»

[シリーズ構造] 柱F|リスク許容度とは何か ―判断を本当に変える問い
本記事では、リスク許容度は「どこまで我慢できるか」ではなく、「誰がそのリスクにサインできるか」を決める境界線だと説きます。5段階のリスクを権限とエスカレーションに結びつけ、金銭・評判・業務・戦略・人的影響の問いで曖昧さを減らし、判断を動かす枠組みを提示します。

▶ シリーズ全体マップ: 人間のしなやかさ ― サイバー判断力のために

▶ 柱F|リスクとガバナンス 関連記事:

リスク許容度とは何か ―判断を本当に変える問い

u5292553157_Create_an_illustration_of_three_persons_standing__33d4204e-752e-4aae-8159-ed4a7153e56c_0.png

多くの組織は、「リスクを管理している」と言います。
しかし実際にやっていることは、「リスクについて話している」だけ、というケースが少なくありません。

リスク許容度は、その"話"を判断に変えるものです。

それは、魔法のように完璧な数値を生み出すからではありません。
リスク許容度が答えるのは、ただ一つの、しかし決定的な問いだからです。

このリスクを、誰が引き受けてよいのか。

この期待は、NIST CSF 2.0 でも明確に示されています。リスクアペタイトおよびリスク許容度は、定義され、共有され、維持されるべきものである(GV.RM-02)。

なぜなら、ガバナンスとは、リスク管理を「掛け声」ではなく運用に落とすための仕組みだからです。

リスク許容度とは、「どこまで痛みに耐えられるか」ではありません。
誰がサインできるか、という話です。

許容度を「○円の損失」や「○時間の停止」だけで定義すると、議論は抽象論に留まります。
前提条件の議論が始まり、会議が増え、そしてインシデントが起きたとき、誰が"Yes"と言ったのかは誰も覚えていません。

実務的な定義は、こうなります。

リスク許容度とは、どのレベルの権限で、どのリスクを受け入れてよいかを定める境界線の集合である。

これはリスク・フレーミングの考え方とも一致します。
前提条件、制約、許容度、トレードオフ――
それらが、組織が実際にどうリスクを扱うかを決めるのであって、紙の上の評価表ではありません。

権限と結びついた、シンプルな尺度

私たちは、5段階の尺度(Very Low / Low / Moderate / High / Very High)を用い、それぞれを明確なエスカレーション経路に結びつけます。

ここで初めて、リスクは「説明されるもの」から、実行されるものになります。

「誰が、どこまで受け入れられるのか」(例)

具体的な割り当てはポリシーの選択です。
重要なのは構造です。

  • 担当者(Individual Contributor:Very Low
  • チームリーダー/マネージャー:Low
  • 部門長/ディレクター:Moderate
  • 経営層(CISO / CIO / COO / CEO など文脈に応じて):High
  • 取締役会・統治機関:Very High(例外的判断)

この構造を入れることで、リスク登録簿は単なる一覧表から、判断の仕組みに変わります。

リスクレベル → 承認者 → エスカレーション経路

この考え方は、国連を含む国際的な実務ガイダンスとも整合しています。責任の明確化、エスカレーション手順、そして閾値を超えたときに何が起きるのか――それらを定義して初めて、リスク管理は「機能」します。

リスク許容度は、リスクを減らすためのものではありません。
曖昧さを減らすためのものです。

そして、曖昧さこそが、
本当に判断が求められる瞬間に、私たちの思考を止めてしまうのです。

5段階リスクレベルと緑・黄・赤の対応

このリスク許容度の指標図は、すでに多くの仕事をしています。リスク許容度を、見て判断できる形にしている。それこそが、ガバナンスに必要なことです。


リスクレベル 許容度の指標色 信号区分
極めて低い 濃い緑
低い 薄い緑
中程度 黄色 黄色
高い オレンジ
極めて高い
極低 極高
この対応づけが重要なのは、私たちが意思決定をスプレッドシートの中でしているわけではないからです。

私たちは直感的に、「進んでよいのか」「一度立ち止まるべきか」「止めるべきか」を判断しています。この色分けは、その判断を支えるためのものです。

許容度を本当に定義する問い

「誰が受け入れられるのか」が明確になった次に必要なのは、各レベルを、行動に移せるだけ具体化することです。

ここでのポイントは一つです。

私たちは、許容度をすぐにイメージできる影響軸で定義します。
お金、評判、業務、そして戦略目標。

目的は、完璧なスコアを作ることではありません。
実際に使われる判断の境界線を作ることです。

1)どこまでの金銭的損失を許容できるか

経営層が「財務インパクトは?」と聞くと、現場は往々にして、現実から切り離された"きれいな数字"を出してしまいます。

実務で使える定義には、インシデント時にお金が何を意味するのかを含める必要があります。単なる売上減ではありません。

含めるべきコスト要素は、例えば次のようなものです。

  • インシデント対応・復旧コスト
  • 代替対応の人件費(手作業、残業など)
  • 生産性の低下
  • 情報損失(再作業、再構築)
  • サービス停止による影響(返金、取引先への波及)

金銭的影響の5段階例(日本円)

  • 極めて高い:1億円超
  • 高い:5,000万円〜1億円
  • 中程度(許容度の目安):3,500万円〜5,000万円
  • 低い:500万円〜3,500万円
  • 極めて低い:500万円未満

この定義は、そのままエスカレーションに直結します。
シナリオが「高い」に入る可能性があるなら、チームレベルで受け入れることはできません。定義上、自動的に上に上がります。

2)どこまでのレピュテーション低下を許容できるか

多くのリスク管理が曖昧になるのが、ここです。
「ブランドへの影響」という言葉で済ませてしまう。
それは避けるべきです。

評判は、感情ではなく、到達範囲と持続性で定義します。

レピュテーション影響の5段階例

  • 極めて高い:長期間にわたり、影響範囲の制限なく深刻な悪影響
  • 高い:重大だが、影響範囲が限定された悪影響
    ※現代のインターネット環境では、これでも急速に拡散します。軽視してはいけません。
  • 中程度:限定的だが、認識されるローカルな影響
  • 低い:限定的で小さな影響
  • 極めて低い:ほとんど影響なし

ここで、緑・黄・赤の意味が効いてきます。
レピュテーションは、一度広がると急激に影響が増幅するため、多くの組織では「高い」「極めて高い」を原則として赤で扱います。

3)どこまで業務への影響を許容できるか

業務影響は、リスクが「現実」になる場所です。
サービスが止まり、業務が回らず、提供できなくなる。

業務停止の5段階例

  • 極めて低い:ユニット/セクション/プロジェクト単位で軽微な影響
  • 低い:部・課・プログラム単位で軽微な影響
  • 中程度:ユニット/セクション単位で業務が麻痺
  • 高い:部・局・地域単位で業務が麻痺
  • 極めて高い:組織全体が麻痺する可能性

この尺度は、そのまま判断を押し上げます。「麻痺」という言葉が出た時点で、受け入れは自動的に上位レベルへ移ります。

4)どこまで戦略目標への影響を許容できるか

戦略への影響は、最終的に経営層と取締役会が引き受ける領域です。
ここを明確に表現できない許容度は、定着しません。

戦略影響の5段階例

  • 極めて低い:ユニット/プロジェクトレベルで戦略目標に軽微な影響
  • 低い:部・プログラムレベルで戦略目標に軽微な影響
  • 中程度:組織単位で戦略目標に重大な影響
  • 高い:部局・リージョン単位で戦略目標が大きく損なわれる
  • 極めて高い:組織全体の戦略目標そのものが危機にさらされる

5)どこまでの人的影響を許容できるか

もう一つ、常に念頭に置く必要があります。
一度失ったデータは、元には戻りません。
一度失った信頼を再び築くには、失うときの何倍もの時間がかかります。
そして、一度失ったお金や業務も、回復には相応の時間と労力を要します。
さらに忘れてはならないのが、人的影響です。
インシデントは、数字やシステムだけでなく、人の判断力、心身の余力、チームの信頼関係までも削っていきます。

多くの組織が、静かに避けている次元があります。
それが、人的影響です。
なぜなら、ここを定義すると、判断が曖昧でいられなくなるからです。

なぜなら、私たちが守ろうとしているのは、人だからです。

Day 76 で示したフレームワークでも、人的影響は5つの影響軸の一つでした。
また、病院のランサムウェア事例では、最終的な深刻度を決めたのは技術的被害ではなく、人的被害でした。
「4人の死亡 → 重大(CRITICAL)」影響評価では、最も重い次元が全体を決めるのです。だから、リスク許容度は、はっきり答えられなければなりません。

どの程度の人的被害を、私たちは"現状のまま"受け入れるつもりなのか。

多くのミッションにおいて、正直な答えはこうでしょう。

受け入れない。

人的影響の5段階例(参考)

  • 極めて低い:直接的な人的被害なし。軽微な不便にとどまる
  • 低い:個人レベルでの短期的なストレスや混乱(安全に直結しない)
  • 中程度:個人に対する実質的な被害
    (重大なプライバシー侵害、生計への影響、長期的な精神的負荷など)
  • 高い:身体的危害の現実的なリスク、深刻な搾取、脆弱な集団への広範な被害
  • 極めて高い:死亡、重篤な負傷、または回復不能な被害が広範に生じる可能性

ここから導かれるガバナンス上の原則

人的影響が 「高い」または「極めて高い」 場合、それは原則としてです。

受け入れには、少なくとも経営層への可視化が必要になります。
多くの場合、統治機関での判断が求められるか、そもそも受け入れ不可能という結論になります。

なぜなら、人的影響を語れないリスク許容度は、許容度ではないからです。

それは、ただの表計算にすぎません。

このようにして初めて、
リスク許容度は「定義」ではなく、判断の仕組みになります。

リスク許容度は、境界線を定める。
統制は、その内側に留まるための手段を形づくる。
そして判断こそが、リスクを統治可能なものにする。

明日は、境界線を、行動に変えます。

―――

[Series Structure] Pillar F | Risk Tolerance as a Boundary -- Why Limits Matter
Risk tolerance isn't "how much pain we can take"--it's who is allowed to sign for the risk. The article links a 5-level scale to authority and escalation, and defines tolerance through concrete impact questions (money, reputation, operations, strategy, and human impact) to remove ambiguity and drive real decisions.

▶ Series overview: Series Overview -- Human Flexibility for Cyber Judgment

▶ Other posts in Pillar F (Risk & Governance):

Defining Risk Tolerance -- The Questions That Actually Change Decisions

u5292553157_Create_an_illustration_of_three_persons_standing__33d4204e-752e-4aae-8159-ed4a7153e56c_0.png

Most organizations say they "manage risk."
What they often mean is that they talk about risk.

Risk tolerance is what turns that talk into decisions.

Not because it magically produces a perfect number.
But because it answers the only question that truly creates accountability:

Who is allowed to accept this risk?

That expectation is explicit in NIST CSF 2.0: risk appetite and risk tolerance statements are to be established, communicated, and maintained (GV.RM-02), because governance is what makes risk management operational--not performative.

Risk tolerance is not "how much pain we can take." It is who can sign for it.

When tolerance is defined only as "$X loss" or "Y hours of downtime," it stays abstract.
People debate assumptions. Meetings multiply.
And when an incident happens, no one remembers who said "yes."

A practical definition is this:

Risk tolerance is the set of boundaries that determines which risks can be accepted at which level of authority.

In practice, tolerance is expressed as thresholds. But it only becomes real when those thresholds are tied to decision rights.

This aligns with the concept of risk framing: assumptions, constraints, tolerances, and trade-offs shape how an organization manages risk in practice. Source

Risk tolerance does not reduce risk.
It reduces ambiguity.

And ambiguity is what paralyzes judgment--right when it matters most.

A simple scale, tied to authority

We use a five-level scale--Very Low, Low, Moderate, High, Very High--and explicitly connect each level to an escalation path.

This is where risk stops being descriptive and becomes executable.

"Who can accept what" (example delegation)

The exact mapping is a policy choice. The structure is the point:

  • Individual contributor: may accept Very Low
  • Team leader / manager: may accept Low
  • Department head / director: may accept Moderate
  • Executive leadership (CISO, CIO, COO, CEO depending on context): may accept High
  • Board / governing body: may accept Very High (exceptions only)

With this, a risk register becomes a decision system:

risk level → approver → escalation route

This "operationalization" mindset is consistent with guidance that stresses responsibilities, escalation procedures, and defined responses when thresholds are breached.

Mapping five risk levels to Green / Amber / Red (the same logic as our gauge)

A visual gauge does something spreadsheets don't: it makes tolerance known at speed.

Your gauge uses five labeled segments and color bands: Very Low (dark green), Low (green), Moderate (yellow), High (orange), Very High (red).

Risk Level Gauge Color Traffic-Light Band
Very Low Dark green Green
Low Light green Green
Moderate Yellow Yellow
High Orange Red
Very High Red Red

Very Low Low Moderate High Very High

This mapping matters because we don't make decisions in spreadsheets.
We make them by recognizing when to proceed, when to slow down, and when to stop.

The questions that actually define tolerance (with concrete examples)

Once "who can accept" is clear, the next step is making each level measurable enough to act.

We define tolerance using impact lenses we immediately recognize:

money, reputation, operations, strategic goals--and human impact.

The goal is not a perfect score.
The goal is a decision boundary we will actually use.

1) How much monetary loss can we tolerate?

When leaders ask for "financial impact," we often respond with neat numbers that ignore reality.

A usable definition includes what money actually means during an incident--not just lost revenue.

Include real cost components:

  • incident response and recovery
  • work-around labor (manual processes, overtime)
  • productivity loss
  • information loss (rework, reconstruction)
  • service disruption (credits, downstream impact)

Example five-tier monetary scale (USD):

  • Very High: > $1,000,000
  • High: $500,001 - $1,000,000
  • Moderate (recommended): $350,001 - $500,000
  • Low: $50,001 - $350,000
  • Very Low: < $50,000

This directly drives escalation.
If a scenario plausibly falls in High, we do not accept it at the team level--by definition, it escalates.

2) How much reputational loss can we tolerate?

This is where many risk programs fail by becoming vague ("brand damage").
We should not do that.

Define reputation by reach and duration, not feelings.

Example five-tier reputational scale:

  • Very High: Sustained, geographically unlimited negative impact
  • High: Significant but geographically limited negative impact
    (In today's internet environment, this still spreads fast--this tier must be treated seriously.)
  • Moderate: Noticeable local impact
  • Low: Limited local impact
  • Very Low: Minimal or no impact

Reputational harm is non-linear, which is why many organizations treat High and Very High as Red by default.

3) How much risk to business operations can we tolerate?

Operational impact is where risk becomes undeniable--missed services, broken workflows, inability to deliver.

Example five-tier operational disruption scale:

  • Very Low: Minor disruption at Unit / Section / Project level
  • Low: Minor disruption at Office / Bureau / Program level
  • Moderate: Operations paralyzed at Unit / Section / Country Office level
  • High: Operations paralyzed at Office / Bureau / Regional Office level
  • Very High: The entire organization may be paralyzed

Once we enter paralysis territory, acceptance moves up the chain--automatically.

4) How much risk to strategic goals can we tolerate?

Strategic impact is what executive leadership and boards actually own.
If our scale cannot express this clearly, our tolerance statement will never stick.

Example five-tier strategic impact scale:

  • Very Low: Strategic goals compromised slightly at Unit / Section / Project level
  • Low: Strategic goals compromised slightly at Office / Bureau / Program level
  • Moderate: Strategic goals significantly compromised at Unit / Section / Country Office level
  • High: Strategic goals significantly compromised at Office / Bureau / Regional Office level
  • Very High: The organization's overall strategic goals may be affected

Strategic compromise at High or Very High must be visible to executive leadership--and, in exceptional cases, to the governing body. Source

5) How much human impact can we tolerate?

This is the dimension many organizations quietly avoid--because it forces clarity.

But in this series, we don't avoid it.
Because the system we're protecting is not "technology."

It's people.

In your Day 76 framework, human impact is one of the five impact dimensions, and in your hospital ransomware case study, human harm is what defines the overall severity ("4 deaths → CRITICAL (10)"). The highest dimension wins. Source

So tolerance must be able to say, plainly:

What level of human harm are we willing to accept in order to continue operating as-is?

In many missions, the real answer is: we are not.

Example five-tier human impact scale (illustrative):

  • Very Low: No direct human harm; minor inconvenience only
  • Low: Short-term stress or disruption affecting individuals (non-safety-critical)
  • Moderate: Material harm to individuals (e.g., significant privacy exposure, loss of livelihood, sustained distress)
  • High: Credible risk of physical harm, severe exploitation, or widespread vulnerable-population harm
  • Very High: Loss of life, severe injury, or irreversible harm at scale

Here is the governance rule that follows:

If human impact is High or Very High, it is Red by default--and acceptance requires executive visibility at minimum. Often it requires a governing-body decision, or it is simply not acceptable.

Because a tolerance statement that cannot speak about human impact is not a tolerance statement.
It's a spreadsheet.

Leading into Day 86

On Day 86, we will make this operational:

  • what do we do with risks above tolerance versus below tolerance?
  • what is the role of preventive and detective controls in moving risk into tolerance, keeping it there, and monitoring it over time?

Because ultimately:

Risk tolerance defines the boundary.
Controls shape how we stay within it.
Decisions are the commitments that make risk governable.

Tomorrow, we turn boundaries into action.

References 出典・参照文献

  1. CSF Tools. (n.d.). GV.RM-02: Risk appetite and risk tolerance statements are established, communicated, and maintained. https://csf.tools/reference/nist-cybersecurity-framework/v2-0/gv/gv-rm/gv-rm-02/ Source
  2. National Institute of Standards and Technology. (2024). The NIST Cybersecurity Framework (CSF) 2.0 (NIST CSWP 29). https://doi.org/10.6028/NIST.CSWP.29 Source
  3. National Institute of Standards and Technology. (n.d.). Risk framing (Glossary). https://csrc.nist.gov/glossary/term/risk_framing Source
  4. National Institute of Standards and Technology. (n.d.). Risk tolerance (Glossary). https://csrc.nist.gov/glossary/term/risk_tolerance Source
  5. United Nations System Chief Executives Board for Coordination, High-Level Committee on Management. (2019). Guidelines on Risk Appetite Statements (Final). https://unsceb.org/sites/default/files/imported_files/2019.HLCM_.26 - Guidelines on Risk Appetite Statements - Final_1_0.pdf Source

蓮見祥子 2026/01/22 05:31:37 Comment(0)

コメント

コメントを投稿する