兵法に学ぶ情報セキュリティの五原則

孫子曰わく、
兵とは国の大事なり。
死生の地、存亡の道、察せざるべからざるなり。
故にこれを経るに五事を以てし、これを校ぶるに計を以てして、其の状を索む。
一に曰わく道、二に曰わく天、三に曰わく地、四に曰わく将、五に曰わく法なり。
道とは、民をして上と意を同うし、これと死すべくこれと生くべくして、危わざらしむるなり。
天とは、陰陽・寒暑・時制なり。
地とは、遠近・険易・広狭・死生なり。
将とは、智・信・仁・勇・厳なり。
法とは、曲制・官道・主用なり。
凡そ此の五者は、将は聞かざることなきも、これを知る者は勝ち、知らざる者は勝たず。

現代語訳

孫子は言う。
軍事は国家の一大事である。人の生死を分け、国の存亡の分かれ道であるからよく考えなければならない。だから5つの事柄を知る必要があり、それを相手と比べてその状況を調べるのが良い。その5つの事柄とは、1番目は道、2番目は天、3番目は地、4番目は将、5番目は法である。
道とは…民衆が上の者の意見と同じで生死を共にしても疑わないような大義のことである。
天とは…天気や温度、時間などの自然の環境のことである。
地とは…距離、険しさ、広さ、高さなどの土地の条件のことである。
将とは…才智や誠信や仁慈や勇敢や威厳など将軍の質のことである。
法とは…軍隊編成、官職、主の軍隊の用い方などの軍隊の規則である。
これらのことは将なら聞くまでもなく判っている事だが、良く理解している者は勝ち、理解できていない者は勝てない。

現代の企業にとって、「情報」は極めて重要な資源です。

その情報を守るための要諦を、孫子の軍事になぞらえて「道」「天」「地」「将」「法」の5つの事柄に従って整理すると、以下のようになります。

道とは…社員が心をひとつに情報セキュリティ対策を意識すること
天とは…情報セキュリティや個人情報保護に対する世の中の考えを知ること
地とは…職場にあるIT資産の状況を把握すること
将とは…経営者が持つ情報セキュリティに対する認識と、被害に遭遇した場合のダメージと整備経費に関する判断能力のこと
法とは…情報を守るため拠り所となるセキュリティポリシーを制定すること

この5つの事柄が重点的に整備できているかどうかが重要であることは、「将」を備え持つ者(経営者)であれば誰でも知っています。そして、最大のポイントは、「『天』『地』『法』をよく理解して、実行できているかどうか」です。知識として知っているだけでなく、自分の日々の行動に繋がるよう腹に落ちているかどうかです。

そこまで徹底するには、従業員に事故や事件の被害の大きさを知らせることが大切です。自動車教習所では、事故現場の映像を見て交通安全を啓蒙する授業があります。あれと同じように、情報セキュリティが守られなかったときの怖さや事後対応の大変さをケーススタディにて学ぶ勉強会を開くと良いでしょう。

また、製造業や建設業などの現場では、安全確保・品質保持を目的として、事故にまで発展しなくても危うく事故を起こしそうになったヒヤッとした経験を「ヒヤリハットシート」に記入することで、日頃の業務を模範的にしています。

近年では金融機関などの個人情報等の重要情報を扱うサービス業でも活用されています。危うくFAXの誤送信などを起こしそうになったときなど、「ヒヤリハットシート」に記入し、職場の仲間同士で共有し、回避する方法を検討すると良いでしょう。

他にも、小学生に防犯ベルを持たせる自治体がありますが、ツールを持たせることでセキュリティへの理解が進むこともあります。現在使っている端末に装備されているセキュリティツールの機能を知っておくことは、日頃からセキュリティ意識を高めるのに効果があります。

こういった取り組みから社員の意識を高めることで「道」が作られます。

そして、情報セキュリティ対策における「道」「天」「地」「将」「法」の5つの事柄が成立し、情報を守る戦いに勝つことができるのです。

酒井英之氏

三菱UFJリサーチ&コンサルティング株式会社
経営戦略部長兼プリンシパル
酒井 英之

慶應義塾大学経済学部卒業後、ブラザー工業入社。
27歳のとき、仲間と広告会社を興すものの事業に失敗。このときの教訓を生かすべく、経営コンサルタントに転身。
「目標達成なくして人材育成なし」をモットーに、成果を出すコンサルティングにこだわり続け、指導した先は300社以上。
主な著書に『スーパー上司力!』(アーク出版)、『稼ぐチームのつくり方』『勝ち組になる会社・なれない会社』(以上、PHP研究所)など。 経済産業大臣認定 中小企業診断士。

孫氏に学ぶ情報セキュリティ
やるときは一気呵成に!小出しでは意識改革につながらない。
大企業は小集団を多数作り、セキュリティ意識を浸透させよ。
面倒くさい!との反論も覚悟してセキュリティ対策に取り組め。
セキュリティ管理も、数値目標があるとPDCAがよく回る。
現地・現物・現実の3現主義をセキュリティにも取り入れよ。
道具を持たせると、社員のセキュリティ意識は高くなる。
セキュリティ対策は日進月歩。これで十分と思ったら負け。
セキュリティの事後対応はとても大変。先手先手で準備せよ。
セキュリティは明日よりは今日、今日よりも今すぐ実行を!
いつ攻められてもいいように守りを固める。すると、敵が離れていく。
守りを固め不安をなくす。攻めるのは、それからだ。
兵法に学ぶ情報セキュリティの五原則
『百戦危うからず』のために
ページのトップへ
ささいなご質問にも専門スタッフがお答えします!導入相談Cafe 詳しくはこちら