夫れ将は国の輔なり。
輔 周なれば則ち国必ず強く、輔 隙あれば則ち国必らず弱し。
故に君の軍に患うる所以の者には三あり。
軍の進むべからざるを知らずして、これに進めと謂い、軍の退くべからざるを知らずして、これに退けと謂う。
是れを「軍を糜す」と謂う。
三軍の事を知らずして三軍の政を同じくすれば、則ち軍士惑う。
三軍の権を知らずして三軍の任を同じうすれば、則ち軍士疑う。
三軍既に惑い且つ疑うときは、則ち諸侯の難至る。
是れを「軍を乱して勝を引く」という。
現代語訳
将軍とは国家の助け役である。助け役が君主と親密であれば国家は必ず強くなるが、助け役と君主との間に隙があるのでは国家は必ず弱くなる。そこで、君主が軍事について心配しなければならないことは三つある。
(一)軍隊が進んではいけない事を知らずに進めと命令し、軍隊が退却してはいけないことを知らずに退却せよと命令する、これを「軍隊を引き留める」という。
(二)軍隊の事情を知らないのに、軍政を将軍と一緒に行うと、兵士たちは迷う。
(三)軍隊の臨機応変の処置も知らないのに、軍隊の指揮を将軍と一緒に行うと、兵士たちは疑う。
軍隊が迷って疑うことになれば、外の諸侯たちが兵を挙げて攻め込んでくる。
こういうことを「軍隊を乱して勝利を取り去る」というのである。
孫子は、経営トップ(君主)がITベンダーや情報セキュリティ担当者(将軍)と緊密に連携を取ることで企業(国)は強くなる、と説いています。さらに、経営トップは現場(軍隊)のことについて、理解を深めることが重要であるとしています。現代における「現場主義」に通じる考えです。
情報セキュリティにおいても現場主義は重要です。経営トップが現場の状況を知らずに、ベンダーや情報セキュリティ担当者と一緒にセキュリティ対策を先行させると現場の従業員は戸惑います。現場の仕事の進め方や特徴を踏まえた上でセキュリティポリシーや情報の取り扱いルールを策定して、現場に戸惑いや疑念を生まないことに留意する必要があります。
また、経営トップはベンダーや情報セキュリティ担当者とのずれを作らないようにするためにも、現場の従業員が迷わないようにするためにも、セキュリティ対策をベンダーや情報セキュリティ担当者に任せきりにしないことも重要です。
自社の情報セキュリティ対策が現場で適正に機能しているかどうかを経営者がチェックする方法の一つに情報セキュリティ監査があります。情報セキュリティ監査というと、第三者の監査人が関与してきて大変だと思われるかもしれませんが、企業内でセキュリティ対策が適切に行われているかを経営者が自ら検証することがポイントの一つになります。
経営者は、定期的に現場に足を運び、現場で何が起きているかを知ると同時に、セキュリティの状態を把握できる仕組みを作ってください。