大きなセキュリティ事故が発生すると、我々コンサルティング事業本部には、「うちのセキュリティは大丈夫なのか?」という経営層からの問い合わせが多く寄せられる。そこで会社全体のセキュリティ対策状況を調べることになるが、大切なことは、具体的なリスクを明らかにして、お客様にどれほど危ないかリアリティを持ってもらうことだ。そのために、どのような情報資産を持っているのか、それらが漏れたり改ざんされたり、または使えない状態になった場合、ビジネスにどういう影響があるのか、を問いかける。その答えから、情報資産の重要度を図りながら、どこまで守ればいいか対策水準を決めていく。
そして、その情報は現在誰が利用できるのか? 重要情報であればアクセス権をもっと制限すべきではないか? などと問いながら、対策の全体指針を固めポリシーを立案(PLAN)していく。そして、次が運用(DO)だ。お客様の社内でこれを自立的・自律的に回していくために、有機的な組織設計を行い、従業員教育などを通じて全社に広げ、その上でさらにきちんと対策実施されているかを確認(CHECK)し、改善(ACT)を重ねる。そうして、セキュリティのPDCAサイクルの仕組みを作り上げていく。その期間は、プロジェクトが終わるまで1年以上を要するときもあり、お客様先に常駐することも少なくない。