セキュリティを語る2つの視点(2)

呉井嬢次(Johji Kurei) 2006-08-15 08:36:00

セキュリティを全体から眺めて語るタイプは、経営者の心をつかみやすい。逆に、経営者は一時の共感に惑わされるべきではない。情報セキュリティ投資で、よくある過ちとして、リービッヒの最小律がある。

リービッヒの最小律

 「必要とされる養分のうち、最も少ないものによって決まる」という法則だ。この法則は学校で習っているのだが、簡単に説明しよう。植物の成長過程において、必要とされる肥料要素の中で、もっとも少なかった要素の量で植物生育は決まってしまうことだ。

 これは植物だけの話ではない。成長し続ける企業だって、情報システムもスピードは異なれど、植物の生育と同じだ。必要な時期に、必要な資金、人材が必要なように、最も少ない要素で組織、システムの成長止まってしまう。

 情報セキュリティーも同じ事が言える。社内のセキュリティ態勢、セキュリティ技術、コンプライアンスなどの要素を組織に応じて、経営者は養分を適切に投入しなければならない。そのためには、そのバランスが重要で、全体的に眺める必要がある。

 ところが、リービッヒの最小律を誤解して、最小限のリスクに押さえたセキュリティ投資で、最大の効果を引き出す手段に使ってしまうのである。そこに大きな過ちが潜んでいる。これは、今流行りの内部統制を採用し、他社と横並びなって安心する経営者と似ている。業界が生き残ることはできても、その企業が生き残る保証はない。つまり、独自性を出す必要がある。

局所に意図的な過度の養分が必要

 情報システムは頭脳に例えられる。脳ミソには、体のどの器官よりも糖分を必要とする。それが体のパーツの一部であり、事実なのだから仕方ない。更に、脳細胞の半分以上が使われていない。だからって、糖分を肝臓並に減らしたり、使わない脳細胞を取ってしまうことはできない。その組織が組織の一部として機能するためには、必要十分な過度の養分が必要なのだ。そして、個人に趣味嗜好があるように、企業だって、独自性を出すために、セキュリティー要素に変化をつけて与える必要がある。

 実際に俯瞰的なセキュリティのアドバイスを受け入れた結果、均等にセキュリティ投資されたが、競合会社に専門サービスで先に提供されてしまったケースが出てきている。組織を全体的に眺めると無難な会社だが、業績も無難に落ち着いてしまったのである。企業も情報システムも偏りは良くない。だから全体的な視点を大切だけど、時には細部にこだわることも大切なのだ。

 「偏愛」という言葉がある。愛の対象に片寄るのは当然だが、それに「偏」がつくと別な意味となる。企業、情報システムにも偏愛しないことが大切だろう。まぁ、渦中にいる幸せな当事者は気づかないのだが。
 次回は詳細にこだわるタイプについて・・・(続く)

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR