『百戦危うからず』のために

故に曰わく、
彼れを知りて己を知れば、百戦して殆うからず。
彼れを知らずして己を知れば、一勝一負す。
彼れを知らず己を知らざれば、戦う毎に必らず殆うし。

現代語訳

孫子は言う。
敵情を知って味方の事情も知っていれば百回戦っても危険が無く、敵情を知らないで味方の事情を知っていれば勝ったり負けたりし、敵情を知らず味方の事情も知らないのでは戦うたびに必ず危険になる。

「敵を知り、己を知れば、百戦して殆(あや)うからず」
『孫子』の中でも最も有名な教訓の一つです。
孫子は、戦いの際には、敵情を知ることと客観的に自分を知ることが大切であることを説いています。情報セキュリティ対策の「最初の一歩」について、この教訓ほど当てはまるものもありません。

「敵情を知ること」とは、手の内や起こりうるケースを把握することにほかなりません。外部からのネットワークへの侵入者が、どういった手法を使って不正アクセスを試みようとするのか、また、内部の不正利用者が、どのように機密情報を取得しようと試みているのか、それ以外にも、誤りから情報が漏洩してしまうこともあります。
そういった情報をもとに、予兆を理解することができなければ、効果的な対策も立てにくいものです。

敵情と自分を知ることから 同時に、「客観的に自分を知ること」とは、自分の職場にどのようなIT資産(ソフトウェアやハードウェア)があるのか。それらがどういった更新状態にあり、どんなセキュリティ上の弱点があって放置されているのかを把握することです。その上で情報セキュリティ対策を施さなければ、不意を突かれて情報漏洩・流出の事故に遭った際に、大慌てすることになりかねません。

特に情報漏洩時に素早い情報開示ができるかどうかが企業の信頼に大きく関わります。自らの現状を知らなければ対応が後手に回り、信用を失墜することにもなりかねません。すべてのセキュリティ対策は、職場のネットワークを調査し、実態を把握することから始まります。

自分の職場の情報セキュリティの状態を知り、敵(セキュリティ侵害者)の意図・動向や事故の可能性が見通せれば、対策は自ずと見いだせます。

敵は進化しています。また、敵は変わります。外部からの侵入者だけでなく、ある日突然、内部の人が悪意を持つこともあります。悪意はなくとも、誤りから発生する事故もあります。

情報セキュリティ対策は敵が進化したり変化したりすることに対し、自分も変化し続けることではじめて効力を発揮できるのです。

酒井英之氏

三菱UFJリサーチ&コンサルティング株式会社
経営戦略部長兼プリンシパル
酒井 英之

慶應義塾大学経済学部卒業後、ブラザー工業入社。
27歳のとき、仲間と広告会社を興すものの事業に失敗。このときの教訓を生かすべく、経営コンサルタントに転身。
「目標達成なくして人材育成なし」をモットーに、成果を出すコンサルティングにこだわり続け、指導した先は300社以上。
主な著書に『スーパー上司力!』(アーク出版)、『稼ぐチームのつくり方』『勝ち組になる会社・なれない会社』(以上、PHP研究所)など。 経済産業大臣認定 中小企業診断士。

孫氏に学ぶ情報セキュリティ
やるときは一気呵成に!小出しでは意識改革につながらない。
大企業は小集団を多数作り、セキュリティ意識を浸透させよ。
面倒くさい!との反論も覚悟してセキュリティ対策に取り組め。
セキュリティ管理も、数値目標があるとPDCAがよく回る。
現地・現物・現実の3現主義をセキュリティにも取り入れよ。
道具を持たせると、社員のセキュリティ意識は高くなる。
セキュリティ対策は日進月歩。これで十分と思ったら負け。
セキュリティの事後対応はとても大変。先手先手で準備せよ。
セキュリティは明日よりは今日、今日よりも今すぐ実行を!
いつ攻められてもいいように守りを固める。すると、敵が離れていく。
守りを固め不安をなくす。攻めるのは、それからだ。
兵法に学ぶ情報セキュリティの五原則
『百戦危うからず』のために
ページのトップへ
ささいなご質問にも専門スタッフがお答えします!導入相談Cafe 詳しくはこちら