今回のエッセーは少しばかり衝撃的な結論が用意されている。衝撃的といってもこの問題にかかわっている人たちにとってだけなのだが、該当する人たちは（といってもこのエッセーを読まなければ自分が該当するかどうかは分からない）心の準備をしてから、じっくりと、納得がいくまで読んでいただきたい。

欧米とのビジネスをやりやすくするために、さまざまな国際標準規格の認証を取得する企業が増えている。おそらくもっとも有名なのがISOで、品質マネジメントシステムのISO9000シリーズ、環境マネジメントシステムのISO14001シリーズだが、IT業界の人にとって最近なじみ深いのは英国標準BS7799から派生したISO17799、これを日本に適応させたISMS（情報セキュリティマネジメントシステム）、つまり情報セキュリティについての国際標準規格だろう。

大量の個人情報をあつかう情報サービス企業には、社会的信頼を得るために以前からプライバシーマークを取得しているところもあるが、ISO17799は単に機密を保護することだけでなく、情報システムや通信基盤そのものの信頼性も管理の対象としている。

この情報セキュリティマネジメントシステムについて、さまざまな監査法人や、その系列のコンサルティング会社が「情報セキュリティ監査」という監査サービスを商品として売り出している。まずは現状の情報セキュリティがどのくらいの水準なのかを調べて、改善点を見つけ出そうというわけである。まず現状を知って、必要な部分に対策を打つというのは、一見合理的な手順だ。

しかし情報セキュリティ「監査」だけを、情報セキュリティ「対策」の導入・実施と別におこなう必要があるだろうか。そんな必要はまったくないというのがこのエッセーの結論である。コンサルティング会社から「情報セキュリティ監査」サービスを受けようとしている企業は、残念ながら会社のお金をムダに使うことになる。

なぜ情報セキュリティ対策の実施とは別に、情報セキュリティ監査で現状を調べる必要があるのか。その第一の理由は次のようなものだろう。現状を知らないまま、やたらめったら対策を実施しても、その対策がほんとうに有効なのか、ほんとうに脅威を減らせるのかわからない、というものだ。

これが正しいとすれば、情報セキュリティ監査をおこなうまでは、どんな対策を実施しても、理屈の上ではムダな投資ということになる。しかしじっさいにはそんなことはなくて、情報セキュリティに対する脅威を減らそうと思えば、最初にするべきことはだいたい決まってくる。

たとえば、アンチウィルスソフトを導入すること、インターネットへの接続点にはファイアウォールを導入すること。インターネット上に流れるパケットは暗号化すること（つまり専用線を使わない場合はVPNを使うこと）、OSのセキュリティパッチはちゃんと適応すること、などなどである。

逆に言えば、これら必要最低限の対策が、社内のすべての拠点で実施できていないうちは、情報セキュリティ監査などやるだけムダだということだ。監査をやるくらいなら、まず必要最低限の対策を講じて、情報セキュリティを必要最低限のレベルに持ち上げてからにすべきなのだ。そうすれば、少なくとも一回分の監査費用を節約できる。よほど資金的に余裕のある好業績の企業でない限り、この定石ははずすべきではない。

しかしここでよく考えてほしいのだが、必要最低限の対策をおこなったとして、その後でもやはり、情報セキュリティ監査をする意味はあるだろうか。意味があるとすれば、監査した結果、まだ改善点が見つかるということを前提していることになる。

ところで、情報セキュリティ監査の手法そのものは、どの企業に対しても同じでなければならない。監査をした結果、「自分の会社に」まだ何か改善点が見つかるはずだという前提は、同じ監査手法をさまざまな企業に適用すると、異なる結果が生じることを意味する。つまり、情報セキュリティについて、自分の会社には他の会社とは違う脅威が存在するはずだ、という前提がある。

他の会社にはない自分の会社だけの情報セキュリティ上の脅威とはいったい何だろうか。そもそも特定の民間企業が、特殊な情報セキュリティ上の脅威を持っているなどということがありうるのだろうか。

ここでERPのことを思い出してほしい。ERPのような統合化された業務処理パッケージを、いまや多くの企業が当然のように導入している。ERPという商品が成立するためには、多くの企業で多くの業務処理の手法が共通だという前提が必要である。したがって個々の企業特有の業務処理の部分は、追加機能として別に開発するという考え方の商品になっている。情報セキュリティもERPと同じようなもので、世界的に標準化できる部分と、そうでない個々の企業特有の部分とがある。

この考え方は一見すると正しいようだが、じっさいには完全に間違っている。情報セキュリティとは、起こるかもしれないことに対する対策であり、ERPはすでに起こっている業務、事業を続けていくために必要で、じっさいにすでに行われている業務に対する対策である。情報セキュリティとは、まだ起こっていないことに対する対策であり、ERPとは、すでに存在していることに対する対策である。

さて、「うちの会社には他の会社にはない情報セキュリティ上の脅威がある」と語るとき、僕らはまだ起こっていないことについて語っている。しかし、まだ起こっていないことについて、それが他の会社にもあるかどうか、どうやって判断できるだろうか。まだ起こっておらず、起こりうることについては、うちの会社にも起こりうるし、他の会社にも起こりうるとしか言えないのではないだろうか。

ERPが対象としている業務処理なら、すでに存在していることだから、「うちの会社の売上伝票の処理方法は、となりの会社とは違う」と言うことができる。しかし、まだ起こっていないことについて、たとえば「うちの会社で起こりうるウィルス被害は、となりの会社で起こりうるものとは違う」と語ることは定義上不可能なのだ。せいぜい「うちの会社で起こりうるウィルス被害は、となりの会社にも起こりうる」としか言えない。

仮に、あくまで仮の話だが、「うちの会社にしか起こりえない情報セキュリティ被害」などというものの内容を記述できたとしよう。そしてその被害のことを「被害A」と名づけよう。しかし、もしその「被害A」の可能性を認めるなら、ただちに被害A以外の、別の「うちの会社にしか起こりえない情報セキュリティ被害」の可能性も認めなければならない。それを「被害B」と名づけよう。

以下同じことの繰り返しである。いったん「うちの会社にしか起こりえない情報セキュリティ被害」などという奇妙なものを定義したが最後、「うちの会社にしか起こりえない情報セキュリティ被害」なるものは、被害A、被害B、被害C．．．と無限に存在することになる。これは当たり前のことで、単なる可能性でしかないものを無理やり定義すれば、あなたの想像力が続く限り、好きなだけ定義できる。可能なものは、無限定である。

このように「うちの会社にしか起こりえない情報セキュリティ被害」を認めると、情報セキュリティ監査はどうなるだろうか。ERPにたとえて言えば、追加機能を限りなく開発するようなことになる。コンサルティング会社が用意した情報セキュリティ監査サービスの調査項目では足りない部分がかならず出てくる。「うちの会社にしか起こりえない情報セキュリティ被害」が、用意された調査項目に存在しないのは当然だろう。その部分は、追加の監査項目で対応する必要がある。しかし上述のように、単なる可能性でしかない被害を定義すると際限がなくなり、追加の監査項目も無際限になる。

だからこそ、ISO17799などの国際標準規格は、情報セキュリティの調査対象をあえて限定したのではなかったか。純粋な可能性としての被害、すでに起こったことではなく、どの会社にも起こりうるものとしての被害は数限りないので、その中の起こる可能性が高いと考えられる項目だけをいくつか取り出して、国際標準規格として制定したのだ。

そしてコンサルティング会社の提供する情報セキュリティ監査も、あくまでその項目の枠内で調査されるのであって、それ以外の「うちの会社にしか起こりえない被害」などというものが仮に記述されていたとしても、彼らのおこなう監査では定義上、調査できないのである。

そして、仮に「うちの会社にしか起こりえない被害」などというものが記述できるとしたら、それを特定できるのは誰だろうか。言うまでもなく「うちの会社にしか起こりえない被害」などというものが存在すると思い込んでいる当人、つまり、その会社の社員であって、それ以外の人ではありえない。その「被害」を監査できるのも、定義上「うちの会社」の人だけだ。

確認しておくと、ここでの僕の議論は「うちの会社にしか起こりえない情報セキュリティ被害」など定義上存在しないというものだ。単なる可能性（起こるかもしれないこと）について、それが起こる前にその内容を定義し、「ほかの会社にはない」などと判断することはできないからだ。

たとえば「うちの会社には、ほかの会社と違って、カラスがネットワークケーブルをかじるかもしれないという脅威がある」と語るのがナンセンスだというのはすぐに分かるだろう。「あんたの会社のケーブルが、カラスにかじられるかもしれないんなら、うちの会社も絶対にそうならないとは言いきれないでしょ。それはあんたの会社だけのことじゃないよ」という具合に、一つの会社でかもしれないことは、ただちにすべての会社でかもしれないことになる。

「うちの会社にしか起こりえない情報セキュリティ上の被害」などというものが定義上不可能なのだから、情報セキュリティ監査などというものは無用の長物なのである。その理由はここから述べる。

これまでの議論から明らかなように、情報セキュリティ監査が商品として成り立つためには、監査対象があらかじめ限定されている必要がある。いま世の中で行われている情報セキュリティ監査は、ほとんどがISO17799などの国際規格の定義する監査対象をそのまま採用している。

しかし、監査対象があらかじめ限定されているなら、仮に監査結果が落第点だった場合の対策もあらかじめ定義できるということだ。だとすると、あとはそれぞれの企業が「うちの会社は100個の監査対象のうち、合計70個で合格点をとることにします！」と目標を決めるだけである。そして目標を決めた時点で、じつは監査をうける必要はなくなっている。監査などすっ飛ばして、すぐにそれらの情報セキュリティ対策を実施するプロジェクトを始めればいいだけのことだ。

たとえば「うちの会社は、すべての拠点にファイアウォールを設置することにしよう！」と決めたら、監査など受ける必要もなく、すぐに「ファイアウォール全社展開プロジェクト」を開始すればいい。そうすればプロジェクトの中の調査の段階で、どの拠点にファイアウォールがないかは必然的に調べざるをえなくなる。もしも別に「サーバ用ウィルス対策ソフト全社展開プロジェクト」なるものが開始され、どの拠点のサーバにウィルス対策ソフトがないかを調べざるをえなくなったら、二つのプロジェクトをまとめて、ファイアウォールの有無と、ウィルスソフトの有無を調べる手間を一回にすればいい。これは監査が必要がどうかの問題ではなく、プログラム・マネジメント（複数のプロジェクトから重複をなくして最適化するための管理手法）の問題である。監査などしなくても、調査作業の重複はかんたんになくせる。

以上が冒頭で述べた、「『情報セキュリティ監査』だけを、情報セキュリティ対策の導入・実施とは別に実施する必要はまったくない」ということの理由である。もう一度その理由をおさらいしておこう。

「リスクとはこれから起こるかもしれないこと、単なる可能性である」→「可能性だからリスクの種類は無限にある」→「無限にあるリスクは有限の時間内に監査できない」→「だから情報セキュリティ監査は、調査対象を有限数に限定している」→「対象となるリスクが有限なので、その対策も有限である。また、対象となるリスクはすでに記述されているので、その対策もすでに記述されている」→「対策がすでに記述されているので、実施するだけである」

情報セキュリティ監査があたかも必要であるかのような結論が出てくるのは、「うちの会社にしか起りえない被害」なるものがあると思い込んでしまっているからである。そんなものはない。一つの会社にとってのリスクは、すべての会社にとってのリスクなのである。

したがって、情報セキュリティ監査などというものは、コンサルティング会社が考え出したひじょうに巧妙な商法なのだ。困ったことに考え出した本人たちもそれがムダであることに気づいていないし、監査を受けようという企業で働く人たちもそのことに気づいていない。仮に情報セキュリティ監査に必要性があるとすれば、ISO17799なり、ISMSなりの認証を取得する場合のみである。認証を取得せずに監査だけを行うことは、百パーセントお金のムダである。

しかし、このエッセーではただ「情報セキュリティ監査はムダだ」ということを論証するためだけに、ずいぶん無駄骨を折ったという感が否めない。というのは、読者のみなさんが自分の自宅のセキュリティを振り返ってみるだけで、「情報セキュリティ監査」なるものがムダであることはすぐに分かるからだ。

みなさんは自宅のセキュリティを強化したいとしたら、まず何を考えるだろうか。誰かに自宅のセキュリティをチェックしてもらおうなどと思うだろうか。仮にチェックしてもらって「あなたの家は、AとBが危ないです」というアドバイスを受けたとして、自分の家はAとB「だけ」が危ないんだと信じるだろうか。そもそもリスクとは、AとB以外のことが「起こりうる」ということである。AとB以外にも、CやD、E、F．．．も起こりうる。ピッキングと、ガス漏れ以外にも、飛行機が落ちてくるかもしれないし、放火されるかもしれない、手榴弾を投げ込まれるかもしれないし、地面の下に旧日本空軍の爆弾が埋まっているかもしれない。

そんなこと、考え始めればキリがない。キリがないからこそ、家庭用のセキュリティ対策というのはすでに相場が決まっている。せいぜい玄関のカギをちょっと高級なものにとりかえるか、窓を強化ガラスにさしかえるか、せいぜい家計の許す範囲で警備サービスを申し込むか、それくらいのものである。あなたはそれを直観的に知っているから、自宅の「セキュリティ監査」などはじめから頼まないのである。

そのあなたが、会社では「情報セキュリティ監査は必要だよ」などと言ってみたりするのは、会社の金があなたのポケットマネーでないからだ。それだけのことである。繰り返しになるが、情報セキュリティ監査をやって意味があるのはただ一つの場合だけ、監査と同時に認証を取得して、形式的にビジネスの世界での信用を高める場合だけである。それ以外の場合、情報セキュリティ監査は完全に会社の金のムダづかいである。

（補足：「情報セキュリティ監査」は保険のようなものではないか、という反論がある。保険なら保険料にみあう必要性があるはずだというわけだ。しかし情報セキュリティ監査とは、どの保険をかけるかの調査であって、リスクに対する保険料を支払うことではない。保険に入ると決めた上で、どの保険に入ればいいのかを、お金を払って専門家に相談する意味はあるが、保険に入るか入らないかを相談するのはお金のムダである。生命保険の場合なら、どの生命保険に入るかを相談するのに、ファイナンシャル・プランナーにお金を払うのは意味があるが、生命保険に入る必要があるかどうかを相談するのにお金を払うのは完全にムダである。人間はだれでも死ぬ可能性がある。そのリスクに備えるかどうかは、他人が決めることはできない。ところが情報セキュリティ監査は、生命保険に入るかどうかを相談するためにお金を払うことなのである！生命保険に入るかどうか、自動車保険に入るかどうか、ガン保険に入るかどうかを、わざわざ他人にお金をはらって決めてもらっているのである。正常な判断能力をもった人間なら、生命保険に入るかどうかは、自分が死ぬ可能性があることはすでに分かっているのだから、さっさと自分で決断して〔入らないという選択だってある〕、相談のお金は代わりに健康になるためにつかうだろう。同じように、セキュリティ対策をおこなうかどうかは、セキュリティ被害の可能性があることはすでに分かっているのだから、さっさと自分で決断して〔リスクをわざと見過ごすという選択だってある〕、相談のお金は代わりに対策実施のためにつかうだろう。情報セキュリティ監査の費用は、保険料ではなく、保険に入るかどうかの相談料であり、まったくムダなお金なのである。情報セキュリティで保険料に相当するものがあるとすれば、ウィルス対策ソフトやファイアウォールの設置費用などの対策実施費用だろう。これらの費用は保険料と同じように、個々のリスクに対応する費用だからだ）