前回、PDCAについて書いたところ、反響が大きかったことから、続きを書いてみたいと思います。頂いた意見を整理すると以下のようなものでした。

  • PDCAサイクル=セキュリティマネジメントには疑問を感じていた
  • PDCAをやっていないと認証がとれないから、必要だ
  • PDCAはセキュリティの基本なのだから今さら何を言うのか

 それぞれ予想していた反応でしたが、Twitterでの以下のご意見にはとても興味を持ちました。

 もともとはPlan Do SeeだったはずなのでいつからPDCAサイクルに変わったのか調べたい

 確かに計画を実行して見直すことは何をするにも基本ですし、非常時など瞬時に判断しなければならない場合を除いてこれを疑う余地はありません。そして、PDCAサイクルについて多くのセミナーで解説が行われていた頃、PDC*とかPDC**とか(*にはいろいろなアルファベットが入っていました)、それぞれの講師の方が独自の理論を展開していたのを思い出しました。

 そういえば私もいつの間にかPDCAサイクルがいつどのようにセキュリティマネジメントと一体化して行ったのかに興味があるので、上記の調査結果が楽しみです。

 そもそもは何かの脅威があるから、何かが怖いからセキュリティ対策をしようと思ったはずです。例えば、ホームページの改ざんとか、ウイルス感染とか、情報漏えいとか、具体的な脅威の対象があったはずです。それがいつの間にか「みんなやってるからうちもセキュリティ対策をしなければ」と対策そのものが目的化していったように思います。

 その典型が認証取得です。現在の統計は知りませんがISMSが日本で普及し始めたころ、日本が世界でダントツに認証を取得していました。一方でセキュリティ先進国と思われている米国ではあまり積極的には認証取得が行われませんでした。

 現在、米国から日本に紹介されるセキュリティ製品の主流は「自動化」をテーマにしたものです。業務情報の所在を常時把握して漏えいを防ぐものや、ログを集中管理する製品などが多く実用化され始めています。日本がマネジメントを中心にした形にこだわったセキュリティ対策に傾倒している間に、米国では自動化、効率化が進められていたのでしょう。

 そもそも従業員教育に始まるマネジメントシステムは「まじめで入れ替わりの少ない従業員がいる組織」には有効に機能しますが、「忠誠心が高くなく、派遣社員が多かったり中途採用や退職率が高いなどの社内関係者の流動性の高い組織」ではその有効性は低くなるはずです。

 セキュリティマネジメントシステムも教育とPDCAだけでなく、セキュリティ対策そのものがどれだけ有効に行われていて、新しい脅威は何かを分析して把握、対策を講じることも含めてバランスよく行うことそのものがセキュリティマネジメントであるはずです。

 セキュリティコストの削減も目的化しないで、セキュリティ対策の効率の向上の結果コスト削減となるようなアプローチをするべきでしょう。

 PDCAサイクルについて前回に引き続き考えてみましたが、日本における形にこだわったセキュリティ対策をより実効性のある対策に見直す機会になれればと思います。もちろん、教育も重要ですし、セキュリティルールの見直しも欠かせません。しかしながら、これまでのセキュリティマネジメント推進担当者自身も、より対策の実効性、コストなどについての知見の向上と情報システム部門や人事部門、内部監査部門との密接な連携が求められて行くことになるでしょう。