わたしのような、業務分析を行うスキルを持つコンサルタントは、企業の支援に入る際に、その前段として「監査」と呼ばれる行為を行うことがあります。なにぶん言葉が威圧的ですので、お客さまに直接「監査します」と申し上げることはほぼありません。そう言わずに、そういう調査活動をしています。

これは、初めて関わる顧客について深く知るということが主目的ですが、この「深く知る」にはいろんな意味が含まれます。

例えば、訪問先の企業において経営者やリーダーの方々からお話をうかがいます。すると、出てくるのは9割がた「素晴らしく優秀な話」です。素晴らしい実績、優秀な人材、機動的な体制、クオリティの高い仕事、高度な技術、興味深い取り組み、獲得した褒賞資格認証、等々。

感心しながらお聞きしていますが、その時点では内心、話半分で聞いています。本当にすごいのかは、客観的に検証する必要があるためです。

見下すような気持ちは毛頭ないのですが、話を聞いただけでは、コンサルタントはまだ疑っているのです。これは個人的な性格の問題でもありません。一応、理由があります。次のエピソードを例に説明したいと思います。

ことしの2月、産業総合研究所（産総研）は、標的型攻撃により外部から不正アクセスを受けたことを明らかにしました。その後、去る7月にその詳細と対応方針をまとめた報告書を公表しています。

A4用紙50枚にわたるその報告書によれば、不正アクセスは昨年10月末から今年2月にかけて継続的に実行され、研究所管内のあらゆる業務システムに不正にアクセスをされたとのことです。犯人は、4カ月間かけて不正なログインを次々と成功させていったようです。

不正アクセスを許すに至った大きな要因としては、脆弱なパスワード設定をしていたアカウントの存在、サーバー設定の甘さ、などと結論付けています。

産総研といえば、著名なセキュリティ研究者が在籍するなど、国を代表する研究機関のひとつです。従前から、世間並み以上の情報セキュリティマネジメント体制がありました。CISO（最高情報セキュリティ責任者）もいて、委員会組織もあり、各部門にも情報セキュリティ責任者がいました。外部委託して運用監視もしていましたし、パスワード設定の所内規定もきちんとありました。

このインシデントが起こる前に、産総研の情報セキュリティ対策について（単に）話を聞けば、（専門家を含めて）ほとんどの人が「十分な体制だ」と評価したに違いありません。おそらくその気になれば、情報セキュリティ分野で国際的に価値が認められている「ISMS（ISO27001）」認証が取れるくらいのマネジメント体制だったと思われます。だからこそ、おそらく犯人の最大の目的であったであろう、機密情報の漏えいには至らなかったのでしょう。

しかしながら現実は、標的型攻撃には少なくとも4カ月間気づかず、気づいたきっかけは監視の結果ではなくまったくの偶然、不正を許した最大の要因は（報告書曰く）「キーボード配列をなぞっただけの安易な」パスワードやサーバー設定の甘さでした。

このエピソードから教訓として得られるのは、シゴトの仕組みというのは「実際に実行されて初めてその意味を成す」ということです。体制がある、ルールがある、機能がある、手順がある、だけでは不十分で、組織が完全に実行しなければ（または実行できないならば）、決めていることのすべてが無意味になりかねないのです。

産総研でも今回、その点に大きな反省を示しています。報告書には今後の対策が整理されていますが、その多くは管理体制の見直しと強化です。

わたしのようなコンサルタントが、話を聞いただけでは信じない理由が、ご理解いただけたでしょうか。話を聞いた後、それを裏付ける行動が実際に示されるかどうかを、必ず確認しに行きます。「監査」とは、かみ砕いて言い換えれば、「言っていることとやっていることが一致しているかを確認する」調査活動のことです。一致していない場合、そこに克服すべき問題があることが多いのです。