今回のエッセーは、前回に引き続き「情報セキュリティ監査」というものがムダだということをさらに検証してみる。また別の反論がありうることに気づいたからだ。こうしてコンサルティング会社の「情報セキュリティ監査」という商品がまったくのムダであることを徹底的に論証することで、ビジネスの世界が合理性を追求しているようでありながら、いかにいかがわしい世界かということを確かめたい。

前回「情報セキュリティ監査」が完全にお金のムダだと書いたのは次のような理由だった。情報セキュリティの被害は、まだ起こっていなくて起こる可能性があるという性質のものだ。まだ起こってないものについて、それが自社にしかなく、他社にはないなどという判断は下せない。起こる可能性のあるものは、すべての会社にとって起こる可能性がある。しかも起こる可能性のあるものは単なる可能性だから、数かぎりなくある。

だからこそ情報セキュリティの国際標準は、あえてその無限数ある被害の可能性のなかからいくつかをとり出して、「一般的な企業が注意すべきなのはこのあたりでしょう」という最大公約数を決めている。世の中に存在する「情報セキュリティ監査」ではその限られた数の被害可能性について調査がおこなわれる。

被害可能性がすでに記述されているのだから、その対策もすでに記述されており、現に商品化されている（ファイアウォールやウィルス対策ソフト、組織面のセキュリティについてはコンサルティング・サービスなど）。したがって企業はそれらの対策を実施するかどうかを決断するために、「情報セキュリティ監査」を受けていることになる。しかし対策を実施するかどうかは単に意思決定の問題であって、第三者に助言をうけることではない。助言を受けても意思決定が必要なくなるわけではない（ああ、当たり前すぎることではないか）。助言をうける価値があるとすれば、いくつかある対策の中でどの対策を実施するかについてである。

新たな反論がありそうなのはこの点だ。その反論とは、「たしかにセキュリティの被害はどの会社にも起こる可能性がある。ただ、ある被害が起こる確率は会社によって違うはずだ。たとえば、A社ではB社よりもウィルス被害の起こる可能性が高いということがあるはずだ。また、同じ被害が起こっても、会社によって被害の大きさは違うはずだ。監査によって被害の確率と大きさが他社とどう違うかを確認できるから意味がある」というものだ。

被害の可能性をリスクと言い換えると、リスクについて、その発生頻度と被害額の大きさをタテ・ヨコのマトリックスにした表は、情報セキュリティ関連の資料をあさったことのある人ならいちどは目にしているだろう。地震は発生頻度が低いが、被害額が甚大である、ウィルス被害は発生頻度が高いが、地震に比べれば被害額は少ない、など。これを便宜上「リスクマップ」と呼んでおこう。

さきほどの反論は、このリスクマップは会社によって異なるということを言っている。A社ではウィルス被害の発生頻度がB社よりも高く、被害額もより大きいというようなことがありうるということを言っている。しかしこのような主張は端的に間違っている。

まず発生頻度の方だが、僕の会社の同僚がこんなことを言った。「関東では地震がもう何十年も起こっていないのだから、地震の発生頻度が低いなんてウソだ」。この発言がまったくの間違いだということはおわかりだろう。サイコロで１０回つづけて１の目が出ても、１１回目に１の目の出る確率は依然として６分の１だ（あちこちに出てくる陳腐な例示で申し訳ない）。A社ではウィルス被害の発生頻度がB社よりも高いというのは、太郎君がサイコロをふった方が、次郎君が同じサイコロをふるよりも１の目が出る確率が高い、というのとおなじくらいナンセンスである。

リスクマップの発生頻度は、A社やB社といった個々の企業が世の中に存在しようとしなかろうと、リスクの発生源から見たときにそれが起こる確率を言っているにすぎない。A社という会社が存在しようがしなかろうが、地震は起こるし、ネットワーク攻撃は起こる。ただ、地震よりもネットワーク攻撃の方が、いろんな理由で一定時間内に発生する頻度が高かろうというだけのことだ。リスクはどの会社にも同じ確率で起こる。

つぎに被害額の方だが、まったく同じ被害がA社とB社に起こったときの被害額が違うということは、たしかにありそうな話だ。しかしまだ起こっていない被害について「まったく同じ被害」と表現することは無意味だ。たとえばまったく同じウィルスの被害にあっても、A社とB社の環境はどこかが違っているはずなので、「まったく同じ被害」と言うことはできない。

一歩ゆずって、そもそもリスクマップに載っているような被害の可能性ははじめから類概念であり、「よく似た被害」と言い換えられるとしよう。「よく似た被害」について、A社とB社で被害額が違うということはありそうだ。しかしよく似た被害であれば被害額が違うのは当然だということになるので、ここでも一歩ゆずって、被害額もはじめから類概念だと考えよう。「よく似た被害によるA社とB社の被害額は、ことなる『金額帯』に属する」と言い換えるのだ。

ここで問題なのは、発生しうる被害額の比較と、その結果としてA社がとるであろうセキュリティ対策との関係だ。比較する対象はべつにB社でなくてもよく、（そんなものがあるとして）「国際的な平均値」や「理想的な状態」でもよい。とにかく情報セキュリティ監査でA社の現状をほかの何かと比較した結果、たとえば「ウィルス対策についてA社は○×よりも被害額が大きく（小さく）なる可能性があります」という分析が報告として提出されることになる。

ふつうの会社なら「ではウィルス対策を強化しよう（または、後回しにしよう）」ということになるが、だとしたら監査のような回り道をせず、比較対象がすでに実施している対策と、自社ですでに実施している対策を見比べて、まだ実施していないものを順にやっていけばいいだけではないか。

これをビジネスの世界ではかっこよく「ベンチマーキング」と呼んでいるようだが、つまりは監査など不要、はじめからベンチマーキングだけやっていればよいということになる。そして言うまでもないことだが、監査の報告を受けてもそれを無視して、対策の実施につなげないような「ふつう」でない会社の場合は、そもそも監査など実施する必要はない。

ここでまた別の反論がありうる。まだ実施していない対策がいくつかあった場合、優先順位を決めるためにこそ監査が必要ではないか、という反論だ。しかし監査の結果が対策の優先順位を決めるのに役立つとすれば、想定被害額が、比較対象とどれくらい離れているかという分析結果の部分だろう。

たとえば、A社はB社にくらべてウィルス被害では５千万円大きい被害額になる可能性があるのに対して、ネットワーク攻撃では１千万円大きい被害額になる可能性がある、という報告が出てきたとする。この報告にもとづいて、はたしてA社はウィルス対策ソフトを、ネットワーク対策より優先させるという判断を下してよいか。答えは否である。対策の優先順位を決定するものは、比較対象との想定被害額の差ではなく、想定被害額の絶対値なのだ。

同じたとえをつかって考えてみよう。ウィルスの「一般的な」被害想定額が１億円で、ネットワーク攻撃の「一般的な」被害想定額が５億円だとしたら、A社は被害想定額の絶対値が大きいネットワーク攻撃への対策を優先させるべきだ。つまり、個々の可能な被害について異なる会社を比べても、対策の優先順位付けの根拠には決してならないということだ。比較すべきなのは、一つの被害と、別の被害なのである。たとえばウィルス被害について、自分の会社と何か（他の会社や理想的な姿）を比較しても、優先順位付けにとっては無意味で、本当に比較すべきなのは、ウィルス被害一般とネットワーク攻撃一般での想定被害額なのである。

そして、ウィルス被害の「一般的な」想定額や、ネットワーク攻撃の「一般的な」被害想定額は、情報セキュリティ監査をおこなうまでもなく、どこかの損害保険会社だかコンサルティング会社だかが、すでに試算している。その試算を信用するかどうかは別にして、「一般的な」被害想定額を、個別企業に対する情報セキュリティ監査によって知ることができないのは当たり前のことだ。ところで、第三者による被害想定額の試算さえ信頼できないのなら、初めから第三者に監査など任せなければよい。

対策の優先順位付けについても、情報セキュリティ監査はまったく意味をなさないということがお分かり頂けたと思う。以上に見てきたように、情報セキュリティ監査は、リスクの確率（発生頻度）の面から見ても、被害規模の面から見ても無意味だ。リスクの確率は定義上すべての会社に共通なものだし、被害規模から対策の優先順位を決定することもできないからである。

情報セキュリティ監査などやっているヒマがあったら、まず比較の対象を決めて、自分の会社でまだ実施されていないセキュリティ対策の項目を洗い出し、その一つひとつについて、一般的に言われている被害想定額の順番に対策を実施すればよい。これが唯一の現実的で、適切なセキュリティ対策ではないか。

最後に、もうひとつ別の反論もしりぞけておきたい。その反論は、情報セキュリティ監査によって、社内のどの拠点に対して、どんな対策を行なえばよいかの見通しがきくので、セキュリティ対策の作業から二度手間を省いて、対策実施の費用を最小限におさえられるという反論だ。つまり、監査なしでも対策の優先順位づけができることを認めたとしても、じっさいにその対策をおこなう作業を始めた後の重複作業を防ぐために、最初に全体の見通しを得ておくことには意味があるだろう、というものである。

たしかに、いくつかのセキュリティ対策のプロジェクトが立ち上がったときに、それらのプロジェクトどうしで重複作業がないようにし、総費用をできるだけ少なくするために、全体の見通しを得ておく必要があるという議論は正しい。問題は、全体の見通しを得るための手段として「情報セキュリティ監査」が適切かどうかだ。

前回のエッセーで書いたように、プロジェクト間の重複作業をなくして、経営資源を最適に配分するのは、マルチプロジェクト管理（プログラム管理）の仕事である。マルチプロジェクト管理を導入すれば、情報セキュリティに関わるプロジェクトに限らず、社内のすべてのプロジェクトについて経営資源の最適配分を考えることができる。

なぜ情報セキュリティ関連のプロジェクトだけについて、経営資源の最適配分やコストの最適化を考える必要があるだろうか。ITプロジェクトに話を限定しても、すべてのITプロジェクトのうち、情報セキュリティに関連するプロジェクトの費用はせいぜい１割程度だろう。本当にプロジェクトにかかる費用を最適化したいのなら、むしろ情報セキュリティ以外のプロジェクトに力をそそぐべきなのだ。

さらに言えば、情報セキュリティについて一般的な企業が打てる対策など数が限られているし、優先順位をつけるのにそれほど悩む必要はない。たとえばウィルスに対して「他のどの企業も行なっていないような、うちの会社独自の対策」など存在するだろうか。ネットワーク攻撃や、大地震にしても同じことが言える。情報セキュリティ対策で実績のある会社に相談して、多くの会社で行なわれている一般的な対策を、一つひとつ確実に実施していくというのが、もっとも費用がかからず、危険性も低い方法ではないだろうか。

「他の会社はすべて、ネットワーク攻撃を防ぐのにXという方法を使っているが、うちの会社だけはYという方法を使っている」といった対策のとり方では、逆に「うちの会社」のリスクを増大させることになる。ふつうのリスク回避の考え方なら、どうしてもXという特別な方法を使いたいのであれば、まずYというふつうの方法を実施した上で、それに上乗せしてXを実施するだろう。

このように、どう考えてみても「情報セキュリティ監査」というものはナンセンスなのである。次に僕らが考えるべきことは、ではなぜ「情報セキュリティ監査」がコンサルティング会社や監査法人の商品として成り立っているのか、多くの企業が「情報セキュリティ監査には意味がある」という間違った信念をもってしまい、実際に監査を受けてしまったのか、ということだ。

おそらくマイケル・ムーアの『ボーリング・フォー・コロンバイン』という映画を観た人なら、答えはかんたんに見つかるだろう。みんな脅されているのだけなのだ。情報セキュリティ監査をうけないと大変なことになるぞ、というプロパガンダに洗脳されてしまっているのである。

なぜ米国が、隣国のカナダとそれほど社会的条件が変わらないのに、あれほどの銃社会になったのか。マイケル・ムーアの結論は、マスメディアが絶えず人々の恐怖心をあおりつづけているということだった。銃を持たないと危ないぞ！と脅されつづけているのだ。情報セキュリティ監査も同じことで、監査をうけないとまともなセキュリティ対策が実施できないぞ！と脅されているのである。そしてその脅しは、リスクの発生頻度と被害規模など、誤解を生みやすい統計学的分析でもっともらしく飾り立てられている。概して数字に弱いビジネスパーソンはあっさりと洗脳されてしまう。信じやすいビジネスパーソンはまことに哀れである。