リスクの大きさは、
リスクの大きさ=発生確率×被害の大きさ
で表されます。
JIS Q 27000ではリスクレベルといっています。
ウイルスのように、発生確率が高く、感染したときの被害が大きいリスクに対しては、対策を講じる必要があります。それに対して、発生確率が小さい未曽有な大地震に耐えるような対策を講じるのは、セキュリティは確保されますが、企業が成り立たなくなるでしょう。また、1枚の名刺を紛失することはよく発生しますが、一般的には、その被害は小さいので、名刺の授受にまで厳重な管理をするのは不適切でしょう。
このような小さいリスクにまで対策を講じるのは不適切です。そのようなリスクが発生したときは、しかたがないとあきらめるとか、経営者の責任で善処するとするのが現実的です。
このような、あえて対処を行わない小さいリスクのことを受容リスクといいます。
情報セキュリティ対策とは、情報システムの脆弱性を減少させる手段を講じることです。たとえば、不正アクセス対策を行うのは、不正アクセスの攻撃があっても被害になる確率を小さくすること、侵入されても被害を少なくすることです。
しかし、脆弱性を皆無にすることはできません。非常に能力の高いハッカーが、このサイトを標的にして、十分な労力をかけて攻撃をすれば、通常の対策をしている程度では、破られてしまうでしょう。でも、そのようなことが発生する確率は小さいと考えられます。
また、社員が会社のパソコンを私用に使うのを規制することも必要ですが、一般的にはその被害は小さいので、通常は精神的な規制をするだけで、技術的な対策までは講じないでしょう。
すなわち、情報セキュリティ対策とは、情報システムの脆弱性を減少させて、リスクの大きさを受容リスク以下にすることだといえます。