セキュリティチェック結果はどう判断する？

セキュリティチェックをやっていて、
一番困るのは、実はチェック中ではありません。

全部の回答がそろって、
シートも埋まって、
さて次は……となったところで、
「で、これどう判断すればいいんだっけ？」と止まります。

OKにしていいのか。
でも、全部できているわけでもない。
かといってNGにするほどでもない。

多くの現場で起きているのは、だいたいこの状態です。

最初に割り切っておいた方がいいのは、
セキュリティチェックはテストではない、ということです。

何点以上なら合格、
一つでもできていなければ不合格、
そういう話ではありません。
実際の委託先を見ると、

• ここはできている
• ここは少し怪しい
• ここは正直よく分からない

この混ざった状態が普通です。
なので、
YESとNOだけで何とかしようとすると、判断が破綻します。

多くの現場では、
結局、次の3つに分けて考えています。

• このまま進めて問題なさそう
• 条件を整理すれば進められそう
• 今はやめておいた方がよさそう

呼び方は会社によって違いますが、
実質的には OK／条件付きOK／NG です。

ここで大事なのは、
ほとんどは「条件付きOK」になるという点です。

OKにしているケースを振り返ると、
完璧だからOK、というより、

• 扱う情報が限定的
• 管理の仕方が一応見えている
• 連絡先や責任者がはっきりしている

このあたりがそろっていることが多いです。
多少の抜けがあっても、
「まあ、この範囲なら大丈夫だろう」と判断できる材料があれば、
OKになります。

現場で一番よく見るのは、ここです。
たとえば、

• 共用アカウントがまだ残っている
• 教育はやっているが、形として残っていない
• 端末管理は甘いが、扱う情報は軽い

こういうとき、
即NGにすると仕事が止まります。
なので、

• • 共用アカウントはいつまでにやめるのか
• • 扱う情報を一部制限する
• • 次回チェックまでに改善してもらう

といった条件をつけて進めます。

条件付きOKは、
「甘くする」ことではなく、
現実的に管理するための判断です。

一方で、
これはさすがに進めない方がいい、というケースもあります。

• 自社の情報をどう扱っているか説明できない
• 誰が責任者なのか分からない
• 事故が起きても連絡されるか怪しい
• 再委託しているかどうかすら把握していない

この場合、
対策が弱いことよりも、
状況を把握していないこと自体が問題です。
ここを条件付きで通すと、
後でかなり高い確率で痛い目を見ます。

判断に迷ったとき、
あれこれ考え始めると答えが出ません。
そんなときは、次の3つだけ見ます。

• これが漏れたら、どれくらい困るか
• 何かあったとき、こちらは気づけるか
• 問題があったら、改善をお願いできる相手か

この3点を並べると、
「今回は進めるべきか、やめるべきか」が見えてきます。

もう一つ、地味ですが大事なことがあります。
それは、
なぜその判断をしたのかを書いておくことです。

• なぜOKにしたのか
• なぜ条件付きにしたのか
• 何を条件にしたのか

これを書いておかないと、
半年後には誰も覚えていません。
あとで説明を求められたとき、
「たぶん大丈夫だと思った」では通りません。

よくあるのは、こんな状態です。

• 毎回とりあえずOKにしている
• 条件付きにしたが、その後見ていない
• 判断した理由がどこにも残っていない

こうなると、
セキュリティチェックはただの行事になります。

セキュリティチェックの結果を判断するときに大事なのは、

• 完璧かどうか
• 最新の対策をしているか

ではありません。

今の状態を把握した上で、
進めるのか、条件を付けるのか、止めるのかを決めることです。

OK、条件付きOK、NG。
この3つで考えて、理由を残す。

それだけで、
チェックは「やった感」から「使える判断」に変わります。