孫子に学ぶ情報セキュリティ

第10話:セキュリティ管理も、数値目標があるとPDCAがよく回る。

原文の画像

現代語訳

兵法で大事なのは、

一:ものさしではかること=度
二:ますめではかること=量
三:数えはかること=数
四:くらべはかること=称
五:勝敗を考えること=勝

である。戦場の土地について広さや距離を考え(度)、その結果について投入すべき物量を考え(量)、その結果について動員すべき兵数を数え(数)、その結果について敵味方の能力をはかり考え(称)、その結果について勝敗を考える(勝)。

孫子は、戦いの場において「数値」を基に環境や資源を把握して、勝敗を考えることの重要性を説いています。
同様に、情報セキュリティ対策においても、数値化によってどれだけ対策が機能しているかどうかをチェックすることが求められます。

数値化で明確に例えば、「ユーザー認証のID・パスワードは、企業が定めた情報セキュリティポリシーやルールに基づいて適切に管理されているか」「システムへのアクセス管理はきちんとなされているか」「いつ、誰が、どのシステムを利用したのかを監査するログ管理は行われているか」といった情報セキュリティ対策の実施状況を、パソコン数・サーバー数・通常/不正アクセス数・ルール違反数・セキュリティ対策研修時間数などといった、より具体的な「数値」に置き換えることで対策の進捗を明確にチェックします。

これにより、経営者はセキュリティ対策が適正に機能しているかどうかを判断することができ、不備があれば対策を強化することができます。

企業の目標達成の手段はPDCAサイクルを回すより他にありません。常に現状を写し出す「C」・「A」が行なわれ、適切な「P」・「D」が実践される状況をセキュリティにおいても実現してください。

酒井英之氏画像
三菱UFJリサーチ&コンサルティング株式会社
経営戦略部長兼プリンシパル
酒井 英之

慶應義塾大学経済学部卒業後、ブラザー工業入社。
27歳のとき、仲間と広告会社を興すものの事業に失敗。このときの教訓を生かすべく、経営コンサルタントに転身。
「目標達成なくして人材育成なし」をモットーに、成果を出すコンサルティングにこだわり続け、指導した先は300社以上。
主な著書に『スーパー上司力!』(アーク出版)、『稼ぐチームのつくり方』『勝ち組になる会社・なれない会社』(以上、PHP研究所)など。
経済産業大臣認定 中小企業診断士。

ページのトップへ
「SKYSEA Client View」導入相談カフェ「SKYSEA Client View」導入相談カフェ
「SKYSEA Client View」導入相談カフェ