ホームページへ もくじへ 印刷用ファイルのダウンロード(660kバイト・PDF版)
安全宣言はいらない 説明責任をください
スライド:01
Slide05 PDCAサイクル
前のページ はじめのページ 次のページ
 日本政府の情報セキュリティ対策が「必要とされる情報セキュリティ強度」と言う概念を持っていないため、情報セキュリティ・マネジメントのもっとも基本的な手法である「PDCAサイクル」に対する日本政府の理解は、かなりあやしげなものになってしまっています。
 このイラストは、総務省の研究班報告書が「PDCAサイクル」(対策の策定・導入運用・評価を繰り返し実施すること)の重要性を説明しているものですが、その結果「セキュリティレベルの向上」がもたらされ、セキュリティ強度の「矢印」は時間とともに「右肩上がり」になるものとして描かれています。
 むろん、「右肩上がりのセキュリティレベル向上」という効果をもたらすようなPDCAサイクルの適用はあり得るでしょう。しかしそれは本来のPDCAサイクルの意図を逸脱した、単なる「情報セキュリティ対策の段階的適用」でしかないとも言えます。  また、このように逐次対策の実施によって限りなくセキュリティレベルを向上し続けるという考え方は、情報セキュリティ対策の費用対効果の視点から見ても非現実的です。
出典・参考資料
総務省:「地方公共団体における情報セキュリティ監査の在り方に関する調査研究報告書 本編」 p.9 http://www.soumu.go.jp/denshijiti/031225_12_z1.html

もくじ
1  安全宣言はいらない 説明責任をください
2  (セキュリティからプライバシーへ)
3  「具体的危険」は危険ではない(?)
4  日本政府のセキュリティ対策基本方針−−「走りながら考える」
5  PDCAサイクル
6  PDCAサイクル-2
7  PDCAサイクル-3
  必須のセキュリティ強度ってどうなってるの?
8  社会的に決められる可変的なもの
9  社会的立場によって異なる要求レベルの調整機能は存在しない
10  あぶないと きみはいった
11  それで、セキュリティ強度は改善されたのか?
  セキュリティ強度の評価基準
12  定性的な基準−−「安全」と「危険」の間に境界線は存在しない
13  定量的な基準−−「時間」でセキュリティ強度を評価する
14  社会的制度的な基準−−情報セキュリティ・マネジメントの考え方
15  安全宣言はいらない
16  「横浜方式」が約束したこと
17  説明責任をください
18  セキュリティからプライバシーへ

もくじ Top   ページ Top
© 2006 Nishimura, Tohru / office dlc