故に曰わく、
彼れを知りて己を知れば、百戦して殆うからず。
彼れを知らずして己を知れば、一勝一負す。
彼れを知らず己を知らざれば、戦う毎に必らず殆うし。
現代語訳
孫子は言う。
敵情を知って味方の事情も知っていれば百回戦っても危険が無く、敵情を知らないで味方の事情を知っていれば勝ったり負けたりし、敵情を知らず味方の事情も知らないのでは戦うたびに必ず危険になる。
「敵を知り、己を知れば、百戦して殆(あや)うからず」
『孫子』の中でも最も有名な教訓の一つです。
孫子は、戦いの際には、敵情を知ることと客観的に自分を知ることが大切であることを説いています。情報セキュリティ対策の「最初の一歩」について、この教訓ほど当てはまるものもありません。
「敵情を知ること」とは、手の内や起こりうるケースを把握することにほかなりません。外部からのネットワークへの侵入者が、どういった手法を使って不正アクセスを試みようとするのか、また、内部の不正利用者が、どのように機密情報を取得しようと試みているのか、それ以外にも、誤りから情報が漏洩してしまうこともあります。
そういった情報をもとに、予兆を理解することができなければ、効果的な対策も立てにくいものです。
同時に、「客観的に自分を知ること」とは、自分の職場にどのようなIT資産(ソフトウェアやハードウェア)があるのか。それらがどういった更新状態にあり、どんなセキュリティ上の弱点があって放置されているのかを把握することです。その上で情報セキュリティ対策を施さなければ、不意を突かれて情報漏洩・流出の事故に遭った際に、大慌てすることになりかねません。
特に情報漏洩時に素早い情報開示ができるかどうかが企業の信頼に大きく関わります。自らの現状を知らなければ対応が後手に回り、信用を失墜することにもなりかねません。すべてのセキュリティ対策は、職場のネットワークを調査し、実態を把握することから始まります。
自分の職場の情報セキュリティの状態を知り、敵(セキュリティ侵害者)の意図・動向や事故の可能性が見通せれば、対策は自ずと見いだせます。
敵は進化しています。また、敵は変わります。外部からの侵入者だけでなく、ある日突然、内部の人が悪意を持つこともあります。悪意はなくとも、誤りから発生する事故もあります。
情報セキュリティ対策は敵が進化したり変化したりすることに対し、自分も変化し続けることではじめて効力を発揮できるのです。