巻頭言　リスクマネジメントとResearch Integrity

　ここ10数年，様々な立場でサイバーセキュリティマネジメントに取り組んでいます．いろいろなところで，「どうすればいいのか？」と聞かれますが，最初の答えは「何を，何から守る必要があるか？　を考えて下さい」です．細かい話はしませんが，この問いかけは一般的なリスクマネジメントの最初の問いかけと同じです．例えば，企業では「何を」を突き詰めれば「事業継続性」であり，これを妨げるリスクを防止することです．リスクマネジメントはISOからガイドラインが出されており^＊，特定されたリスクへの基本的な対処指針として，受け入れる，対策を打つ，移転する，排除する，の四つが挙げられています．受け入れは何もしないこと，対策を打つはリスクを低減できる方策を取る，移転は例えば保険をかけるといったことです．排除するとは，リスクが想定されることを行わないにあたります．例えば，フィッシングメールを受け取らないためにメールを使わない，といった対応です．これでは今の世の中不便でしょうがないですね．このとき，リスクマネジメントの観点では排除することによる機会損失を考えることがポイントになります．また，何らかの対策を打つにしてもコストがかかりますし，ほとんどの場合100%防げるわけではないという現実があります．したがって，リスクマネジメントは自らの活動目的とそれが行われる環境を考えて，自らの価値観に基づいて判断することが基本になります．冒頭の「どうすればいいのか？」という問いかけは暗に「どんなルールやシステムを入れておけばよいのか？」という問いかけが意図されているのですが，これはあなたが「何を，何から守りたいか？」次第です，となるわけです．前者は一般にルールベース，後者はリスクベースの対応とも呼ばれています．安定した環境での活動であれば，思考の節約といった点でルールベースにもメリットはあるのですが，多様で複雑な環境下ではリスクベースの判断が必要です．

　ここ数年，Research Integrityという言葉が広く議論されるようになっています．我々の学会活動は①立場を超えたオープンな議論により，新たな研究成果を追究する，②公正な研究成果の評価・保護を行う，ことで電子情報通信分野の発展，社会の発展に貢献することを目指しています．例えば，①のための活発な研究会活動，②を担保するために論文誌における査読が行われています．ここで，論文の剽窃や盗用は当然御法度です．今までのResearch Integrityはこのような研究開発において守るべき基本的な規範・倫理を指すものでした．しかし，これまでの規範・倫理に加えて「研究の国際化，オープン化に対する新たなリスクへの対応」が求められるようになってきています^＊．これは，いわゆる経済安全保障の観点で特定の国家や組織が科学技術の研究成果を我々の意図，価値観とは異なる目的で利用するリスクへの対応です．個人的には，現時点で本会レベルではこの新たなResearch Integrityのリスクに対して具体的に何かをする段階ではないと考えています．しかし，このような状況に置かれていること自体は研究者のリテラシーとして認識しておく必要があると思います．要は，我々の活動意図を阻害する可能性のあるリスクを体系的，合理的に判断する姿勢を身につけておくことです．付言するなら，リスクベースという考え方は，今の世界でのグローバルスタンダードになっていることを認識しておく必要があると思っています．