コラム
~計画とリソースのあり方~
セキュリティの取り組みでは、短期的なPDCAを実践する場合も計画から行います。計画を立てている企業の計画案を見ると、大きく3種類のパターンがあるように感じます。
1つ目は、過去の踏襲から計画を作成しているパターンです。前年度と比べてもほとんど変化がありません。専門組織が無く、業務評価などもされない場合このような傾向が強いように感じます。
2つ目はリソースの観点からできる計画を立てているパターンです。予算や体制が先に来て、その中でできることを行おうとしています。取り組む意欲はあるものの、満足いく取り組みができないため、セキュリティ担当者のモチベーションが下がっているケースもこのパターンでは多いです。
3つ目は評価を受け、長期的なPDCAの中で検討された目的や目標に則った計画を立て取り組んでいるパターンです。セキュリティのPDCAを行う理想的な形といえます。
リソースにも限りがあるため全て計画通りにいかない場合はもちろんあることでしょう。それでもまずはリスク分析に則った計画を作成し、経営層や予算管理部門としっかりと議論をしていくことが会社にとっても重要ではないでしょうか?
編集後記
「段取り八分の仕事二分」とは、事前の段取りを予め終わらせておくことで、その仕事は八割完了しているという意味の格言です。セキュリティに限らず仕事の多くは計画をしっかりと作り込み、あとは実行するだけの状態になっていることが理想ではないでしょうか?
ただし、長期的な計画では時々目的を見失う場合もあります。定期的な振り返りは自分達が何を目指しているのか?最善と思われる方法が取れているのか?を関係者で振り返りながら議論をしていくことが重要です。また、中からだと気付けないこともあるため、外から自分達の取り組みがどう見えているのかを確認するという方法もあります。外野からさまざまな声が上がることもありますが、一意見として適切な意見のみを吸い上げ、リスク分析に即して取り組みを進めていく姿勢こそ、セキュリティ担当者には求められるのかもしれません。