ホームページへ もくじへ 印刷用ファイルのダウンロード(660kバイト・PDF版)
安全宣言はいらない 説明責任をください
スライド:01
Slide07 PDCAサイクル-3
前のページ はじめのページ 次のページ
 もう少し具体的にPDCAサイクルの効果を考えるなら、「水平の矢印」は実は「鋸の刃」の形で絶えず上下していることが理解できるはずです。PDCAサイクルは、「鋸の刃」をいつでも「一定の情報セキュリティ強度」以上に維持するための活動だといえます。
 PDCAサイクルがうまく機能しなくなれば、右側のオレンジ色の点線のように、システムの情報セキュリティ水準は急速に低下していくでしょう。
   *  *
 このイラストの左下のオレンジのラインは、意識的な対策を実施する前の情報セキュリティレベルを示しています。これを、一定の水準以上に引き上げるには、お金と手間をかけた機器の導入や制度整備、教育訓練などが必要です。だけど、資金と手間をかければ、情報セキュリティ強度は確実に向上します。また、そうしなければこのシステムが必須としているセキュリティ水準を確保することはできないでしょう。
 PDCAサイクルが大きな役割を担うのは、このような意識的な対策を導入した後です。  システムのセキュリティ強度は、放置すれば必ず低下します。だから短いサイクルで定期的に対策の見直し・新期対策の策定と導入を繰り返すこと(情報セキュリティ・マネジメント)で、一定の水準を維持しているのがPDCAサイクルなのです。

 ただし、たとえばWindowsの新しいセキュリティホールが報告されながらセキュリティ・パッチが導入されていない期間は必ず発生します。このような例は他にもたくさん指摘できるでしょう。だから現実のセキュリティ強度は、一時的に「必須とされる水準を大きく割り込む」ことがあります(上のイラストには表現されていません)。

もくじ
1  安全宣言はいらない 説明責任をください
2  (セキュリティからプライバシーへ)
3  「具体的危険」は危険ではない(?)
4  日本政府のセキュリティ対策基本方針−−「走りながら考える」
5  PDCAサイクル
6  PDCAサイクル-2
7  PDCAサイクル-3
  必須のセキュリティ強度ってどうなってるの?
8  社会的に決められる可変的なもの
9  社会的立場によって異なる要求レベルの調整機能は存在しない
10  あぶないと きみはいった
11  それで、セキュリティ強度は改善されたのか?
  セキュリティ強度の評価基準
12  定性的な基準−−「安全」と「危険」の間に境界線は存在しない
13  定量的な基準−−「時間」でセキュリティ強度を評価する
14  社会的制度的な基準−−情報セキュリティ・マネジメントの考え方
15  安全宣言はいらない
16  「横浜方式」が約束したこと
17  説明責任をください
18  セキュリティからプライバシーへ

もくじ Top   ページ Top
© 2006 Nishimura, Tohru / office dlc