兵法は、
一に曰わく度、二に曰わく量、三に曰わく数、四に曰わく称、五に曰わく勝。
地は度を生じ、度は量を生じ、量は数を生じ、数は称を生じ、称は勝を生ず。
現代語訳
兵法で大事なのは、
一:ものさしではかること=度
二:ますめではかること=量
三:数えはかること=数
四:くらべはかること=称
五:勝敗を考えること=勝
である。戦場の土地について広さや距離を考え(度)、その結果について投入すべき物量を考え(量)、その結果について動員すべき兵数を数え(数)、その結果について敵味方の能力をはかり考え(称)、その結果について勝敗を考える(勝)。
孫子は、戦いの場において「数値」を基に環境や資源を把握して、勝敗を考えることの重要性を説いています。
同様に、情報セキュリティ対策においても、数値化によってどれだけ対策が機能しているかどうかをチェックすることが求められます。
例えば、「ユーザー認証のID・パスワードは、企業が定めた情報セキュリティポリシーやルールに基づいて適切に管理されているか」「システムへのアクセス管理はきちんとなされているか」「いつ、誰が、どのシステムを利用したのかを監査するログ管理は行われているか」といった情報セキュリティ対策の実施状況を、パソコン数・サーバー数・通常/不正アクセス数・ルール違反数・セキュリティ対策研修時間数などといった、より具体的な「数値」に置き換えることで対策の進捗を明確にチェックします。
これにより、経営者はセキュリティ対策が適正に機能しているかどうかを判断することができ、不備があれば対策を強化することができます。
企業の目標達成の手段はPDCAサイクルを回すより他にありません。常に現状を写し出す「C」・「A」が行なわれ、適切な「P」・「D」が実践される状況をセキュリティにおいても実現してください。
