このブログで何回も取り上げた 有効性の評価。
いまだに スッキリしない原因は、そもそも 有効性って何？ という根底部分が解消されていないことにある。

本来の目的から考えれば、企業は 取引先から信頼してもらうため とか、企業価値を高めるため とか、そのような目的があって 情報セキュリティに取り組む。つまり、取引先から信頼してもらうため とか、企業価値を高めるため とか、そのような目的に対して、情報セキュリティの取り組みが効果的かどうか、これを 有効性 と呼ぶべきである。

ところが、ちょっとだけ観点を変えると、情報セキュリティの取り組みが適正に運営されていること、これを 有効性 と呼びたくなる。間違いではないと思うが、企業の目的は 情報セキュリティの取り組みを行うこと自体ではなく、その取り組みの先に目的とするものがあるはず。同様に、セキュリティレベルを維持することが目的ではないはず。

それに対して、対策や管理策の成熟度（どこまでできているか？）を 有効性 と呼ぶこともある。これは、上のふたつと全く違うレベルのものであり、ゴッチャになるので、個人的には 有効性 と呼ばない方が良いような気がする。

これら 3つの評価は相反するものではなく、3つとも実施して問題はない。むしろ、3つとも評価した方が良いと思う。こんなこと、誰かハッキリ言ってくれないかな････。

って感じで、情報セキュリティを語った後は これで。

語らなくても これじゃんか！

まじんがぁ～