セキュリティを考える場合の五つの要件として
    

        （１）運営主体と対象となるオペレーション（営み）が明確なこと
（２）あらかじめ定められたオペレーションプランがあること
（３）プランを履行するためのリソースプロパティーが洗い出されていること
（４）リソースプロパティーに影響を与えるインシデントが洗い出されていること
（５）それぞれのインシデントに対するリスクマネジメントがなされていること 
(略)
―― セキュリティーと言われたとき、
わたしたちはつい（４）のインシデントと（５）のリスクマネジメントにばかり目が行っているような気がします。
    
ですね。まずは、何を何から守らないといけないのか？そのためには何が必要なのか？などなど、調べることはたくさん。
ソレを知ることなくセキュリティ対策を行うと言うのは、まずムリなので、やはり、そういった分析が大切だと言うことを上層部も知るべき。
でもって、分析する時間もまた業務の一環ということを理解して欲しいな。