「セキュリティ対策を行う」ということを聞いたときに、具体的にどんなことを想像されるでしょうか？

「ウィルス対策ソフトを導入する」、「ファイアウォールや侵入検知装置を導入する」といったことでしょうか？
それとも、「社員のセキュリティ教育を行う」といったことでしょうか？

どれも大切なことではありますが、セキュリティ対策を考える際にまず最初に考えていただきたいことがあります。

それは、「会社（組織）内にどんなリスクが潜んでいるか」といったリスクの洗い出しをすることです。
「それぞれのリスクに対して、どのように対応策をとるのか」といったリスクの評価はその後です。

「ウィルス対策ソフトを導入する」とか「社員のセキュリティ教育を行う」といったことは、この対応策の選択肢の一つにすぎません。セキュリティ対策を考えるときに、こういった個々の対策から検討し始めるということはよくあることですが、お勧めしません。出てきた（想定する）問題に対して、もぐら叩きのように対応することになるので、想定漏れによる事象が思わぬ事故につながる可能性もありますし、会社（組織）全体のリスクの大小に相応する対策が行えていないことが出てきます。予算や人員には限りがあり、セキュリティ対策に完璧を求めることは難しいので、影響の小さいリスクの対策は最小限に留め、影響の大きなリスクに力を注ぐといったバランスを考えることが重要となります。

リスクの洗い出しについては、保有する情報資産から考えていくという方法もありますが、ここでは「原因・事象・影響」から考えてみるという方法をご提案いたします。
まずはSTEP1で会社（組織）として困る事象およびその影響を洗い出し、STEP2でその事象が発生する原因を考えていくという流れになります。
STEP1・２でリスクの洗い出しができたら、STEP3でリスクの評価を行っていきます。

具体的な方法は次回以降に書きます。