セキュリティ管理も、数値目標があるとPDCAがよく回る。

兵法は、
一に曰わく度、二に曰わく量、三に曰わく数、四に曰わく称、五に曰わく勝。
地は度を生じ、度は量を生じ、量は数を生じ、数は称を生じ、称は勝を生ず。

現代語訳

兵法で大事なのは、

一:ものさしではかること=度
二:ますめではかること=量
三:数えはかること=数
四:くらべはかること=称
五:勝敗を考えること=勝

である。戦場の土地について広さや距離を考え(度)、その結果について投入すべき物量を考え(量)、その結果について動員すべき兵数を数え(数)、その結果について敵味方の能力をはかり考え(称)、その結果について勝敗を考える(勝)。

孫子は、戦いの場において「数値」を基に環境や資源を把握して、勝敗を考えることの重要性を説いています。
同様に、情報セキュリティ対策においても、数値化によってどれだけ対策が機能しているかどうかをチェックすることが求められます。

数値化で明確に 例えば、「ユーザー認証のID・パスワードは、企業が定めた情報セキュリティポリシーやルールに基づいて適切に管理されているか」「システムへのアクセス管理はきちんとなされているか」「いつ、誰が、どのシステムを利用したのかを監査するログ管理は行われているか」といった情報セキュリティ対策の実施状況を、パソコン数・サーバー数・通常/不正アクセス数・ルール違反数・セキュリティ対策研修時間数などといった、より具体的な「数値」に置き換えることで対策の進捗を明確にチェックします。

これにより、経営者はセキュリティ対策が適正に機能しているかどうかを判断することができ、不備があれば対策を強化することができます。

企業の目標達成の手段はPDCAサイクルを回すより他にありません。常に現状を写し出す「C」・「A」が行なわれ、適切な「P」・「D」が実践される状況をセキュリティにおいても実現してください。

酒井英之氏

三菱UFJリサーチ&コンサルティング株式会社
経営戦略部長兼プリンシパル
酒井 英之

慶應義塾大学経済学部卒業後、ブラザー工業入社。
27歳のとき、仲間と広告会社を興すものの事業に失敗。このときの教訓を生かすべく、経営コンサルタントに転身。
「目標達成なくして人材育成なし」をモットーに、成果を出すコンサルティングにこだわり続け、指導した先は300社以上。
主な著書に『スーパー上司力!』(アーク出版)、『稼ぐチームのつくり方』『勝ち組になる会社・なれない会社』(以上、PHP研究所)など。 経済産業大臣認定 中小企業診断士。

孫氏に学ぶ情報セキュリティ
やるときは一気呵成に!小出しでは意識改革につながらない。
大企業は小集団を多数作り、セキュリティ意識を浸透させよ。
面倒くさい!との反論も覚悟してセキュリティ対策に取り組め。
セキュリティ管理も、数値目標があるとPDCAがよく回る。
現地・現物・現実の3現主義をセキュリティにも取り入れよ。
道具を持たせると、社員のセキュリティ意識は高くなる。
セキュリティ対策は日進月歩。これで十分と思ったら負け。
セキュリティの事後対応はとても大変。先手先手で準備せよ。
セキュリティは明日よりは今日、今日よりも今すぐ実行を!
いつ攻められてもいいように守りを固める。すると、敵が離れていく。
守りを固め不安をなくす。攻めるのは、それからだ。
兵法に学ぶ情報セキュリティの五原則
『百戦危うからず』のために
ページのトップへ
ささいなご質問にも専門スタッフがお答えします!導入相談Cafe 詳しくはこちら