ビジネスWi-Fiで会社改造(第40回)
複数フロアのオフィス全体にビジネスWi-Fiを導入
公開日:2022.01.18
経済産業省が策定した「セキュリティ経営ガイドライン」で、経営者が社内に対して指示すべきポイントとして示された「重要10項目」。今回は6番目の項目「サイバーセキュリティ対策におけるPDCAサイクルの実施」について解説する。
経済産業省と独立行政法人情報処理推進機構(IPA)が共同で策定した「サイバーセキュリティ経営ガイドライン Ver2.0」では、企業のIT活用を推進する上で経営者が認識すべきサイバーセキュリティに関する原則や、経営者がリーダーシップをもって取り組むべき項目がまとめられている。
サイバーセキュリティ対策の効果を高めるためには、個々の問題にその都度対処するだけでなく、取り組みの「継続」が重要になる。継続的な改善方法として知られているものの一つが「PDCAサイクル」だ。P(Plan:計画)、D(Do:実行)、C(Check:評価)、A(Act:改善)という4段階を繰り返し行うことで改善の効果を高めるPDCAサイクルは、業務効率化につながる手法として多くの企業がさまざまな分野で導入している。今回はセキュリティ対策にPDCAサイクルを取り入れるメリットと、効果を最大限に引き出すためのポイントを紹介する。
PDCAの実施に当たっては、それぞれの段階に対応する体制を整備する必要がある。具体的な構築方法を考えてみよう。
・P(Plan:計画)
現在の課題や今後の予測を基に目標を設定し、実行計画を作成する。立案に際してはテーマを明確にするとともに、解決までの道筋が描けるプランを構築する必要がある。
・D(Do:実行)
作成した計画に沿って業務を実行する。進捗状況を詳細に記録し、以後の段階で個別に分析できるようにすることが重要。
・C(Check:評価)
実行した業務が計画に沿ったものかどうかを確認し、評価する。もし計画通りに進まなかった業務が見つかった場合は原因を分析し、改善すべきポイントを明らかにする。
・A(Act:改善)
判明した結果に基づいて、今後の改善策を検討する。その中で作成された改善案を次回の「P」作成に役立てる。
サイバーセキュリティ対策を目的としたPDCAサイクルを実行するためには、さまざまなリスクに継続して対応可能な体制(プロセス)を整備する必要がある。セキュリティ対策は「終わりのない旅」とも例えられるように、一度の対策で完結する類いのものではない。ある課題に対するPDCAサイクルが一旦完了しても、そこには新たな「P」がすでに存在し、休むことなく次のサイクルに取り組む必要がある。常に登場する新しい脅威(リスク)に対応するためのさらなる改善に向けて、らせん状に続くPDCAサイクルを「回していく」ことが欠かせない。
PDCAサイクルを継続し、改善を積み重ねることで得られるメリットは、業種・業界を問わず広く知られているのは言うまでもない。ただし、進め方によってはPDCAがむしろ改善を妨げる要因になってしまうケースもある。各段階で発生しうるトラブルの例を挙げてみよう。
・P「目標設定は適切か?」
長期的なPDCAサイクルを考えた場合、課題解決に向けた目標は1サイクルごとに設定することになる。ここで大切なのは「その目標は適正か?」という部分だ。ハイレベルな目標は当然達成が困難で、関係者の意欲をそいでしまう。ただし、あまりに簡単に達成できる目標ばかりでは「慣れ」が生じ、結果的に改善が進まないという結果につながることも考えられる。現状をしっかり把握しつつ、最大限の改善効果が望める目標を定めよう。
・D「活動の記録範囲」
計画に基づく活動を進めることは当然だが、その結果だけを記録している場合は注意が必要だ。例えば目標を達成できなかったケースであっても、内容に触れない「〇×」的な記録では、達成までにどの程度の改善が必要なのか不明で、次回のサイクルに向けた検討が難しくなる。特に長期的な取り組みでは、詳細な記録を心掛けよう。
・C「評価基準は公正か?」
PDCAにおける評価は、一般的な業務で行われるものに比べて厳しいといえる。その理由は、評価に何らかの揺らぎや曖昧さが生じた場合、活動全体の失敗につながる恐れがあるからだ。「熱心に取り組んでいた」「一定の成果が認められる」といった評価では具体的な成果を知ることは不可能。このような評価を継続しても改善は望めないだろう。公正で客観的な評価を行い、可能な限り数字で達成度を示す必要がある。
・A「改善に対する意欲」
改善を進める上で重要なのが「意欲」。明らかになった課題を解決するまでの道のりは長く、種類によっては数年以上を費やすことも少なくない。どこまで達成すれば解決とするかは個々のケースによるが、活動に対する慣れが生じ、「この程度でいいだろう」という雰囲気が出てしまうと、PDCAが「掛け声倒れ」の活動になってしまう恐れもある。常に意欲を持って取り組めるよう、必要に応じて課題の見直しや再設定も検討すべきだろう。
PDCA継続によるセキュリティ対策を実現するために、もう一つ重要なポイントとなるのが「(情報の)開示」だ。開示対象は組織内(社員・経営層)をはじめ、顧客、取引先、株主、金融機関、行政機関など「ステークホルダー」全般にわたる。
実施した対策の内容は情報セキュリティ報告書、CSR報告書、サステナビリティレポートや有価証券報告書などへの記載を通じて開示を検討しよう。もし適切な開示を行わなかった場合、社会的責任の観点から、事業のサイバーセキュリティリスク対応についてステークホルダーの信頼を失うとともに、インシデント発生時に企業価値が大きく低下する恐れがある。
また、PDCAの対象となる脅威は常に変化している。最新の脅威への対応ができているかといった視点も踏まえ、組織のサイバーセキュリティ対策を定期的に見直さないと環境変化に対応できず、新たに発生した脅威に対応できないという事態に陥りかねない。新たなサイバーセキュリティリスクの発見などにより追加で対応が必要な場合には、速やかに対処方針を修正し、状況に応じてセキュリティ診断や監査を受けてシステムやサイバーセキュリティ対策の問題点を検出し、継続的な改善を行う必要があるだろう。
業種、職種を問わず、現代のビジネスシーンで広く使われているPDCAは、セキュリティ分野でも効果が期待できる取り組みの一つだ。業務効率化とともに「大切な情報資産を守る」というテーマに沿ったPDCAサイクルを継続的に回し、企業の成長につなげることの価値は大きい。
執筆=林 達哉
【TP】
審査 24-S706
最新セキュリティマネジメント
企業の情報セキュリティリスク認知調査2023
テクノロジーの進化によって、生産性の向上や多様な働き方の実現などの恩恵がもたらされる一方、サイバー攻撃も多様化・複雑化の一途をたどっています。こうした中、攻撃手法などの情報セキュリティリスクをどれくらい認知しているのだろうか。その最新動向について調査しました。
情報セキュリティ対策意識調査2022
DX推進が企業にとって成長のドライバーとなる中、サイバー攻撃も多様化・複雑化の一途をたどっています。AIやRPAなど各種のICTテクノロジーや、社内外のコミュニケーションを円滑化するクラウドストレージ活用が進む現在、企業における情報セキュリティ対策はどうなっているのだろうか。対策度合いや、脅威に感じるもの、対策をするうえでの課題などの最新動向について調査を行いました。
その対策は効果ナシ!セキュリティの常識を検証する
サイバー攻撃の被害が深刻化し、従来のセキュリティの常識が 崩れ始めています。本当に必要な対策とは何か?情報セキュリティ大学院大学の大久保隆夫教授にお聞きしました。
2024年11月13日(水)①14時00分〜14時30分 ②18時00分~18時30分
セキュリティ関連