故に用兵の法は、其の来たらざらるを恃むこと無く、吾れの以て待つ有ることを恃むなり。
其の攻めざるを恃むこと無く、吾が攻むべからざる所あるを恃むなり。
現代語訳
そこで、戦争の原則としては、敵のやって来ないことを頼りとするのでなく、いつやって来ても良いような備えがこちらにあることを頼みとし、また敵が攻撃しないことを頼りとするのでなく、攻撃できないような態勢がこちらにあることを頼みとするべきである。
孫子は、「敵が向かってこないことを期待するのではなく、敵に立ち向かえるだけの準備をしなさい。敵が攻めてこないことを祈るのではなく、攻めさせないような備えをしなさい」と指摘しています。
大切な企業情報や個人情報を保護するという情報セキュリティ対策に臨む際には、対応策を打たないうちに「当社は大丈夫、安全」と考えたり、「うちでは内部の不正行為は起こるはずがない。社員を疑う必要はない」と楽観する人がいます。そう信じたい気持ちもよくわかりますし、できればそのとおりであって欲しいと思います。しかし、それは現実を直視したくないがゆえの言い訳に過ぎません。実際に事故が起こってから「当社は大丈夫、安全だと思った」と言ったところで、周囲には言い訳だとしか受け取ってもらえません。
本当に情報セキュリティ対策を理解し、考えられている人は、敢えて厳しい態度で臨みます。「いつ不正行為が起こっても大丈夫」と考えられるような環境づくりをします。そのため、「いつかわかってくれるだろう」を心の支えに、敢えて憎まれ役を買って出ます。社内から「俺たちを信用していないのか」と言われるのは辛いことです。しかし、顧客から「顧客不在。自分たちのことしか考えていない」と言われるのはもっと辛いことだとわかっているのです。
セキュリティ対策は、「他責」ではなく、常に「自責」という観点から考える必要があります。
また、内部の不正行為だけでなく、人がちょっとしたミスを犯すことで情報漏洩事故が起きることも念頭に入れて、人がミスをしても情報漏洩事故に結びつかない仕組みを作ることが必要です。
一度ストーブに触れて「アツッ!」と感じた子供は、二度とストーブを触ることをしなくなります。それと同じように、「この操作は危なかったね」と教え合い、学びあえる環境を作ることが、「敵に攻めさせない備え」となり、安全な環境を作る上でとても大切なことであると言えます。