技術屋のためのドキュメント相談所・所長の開米です。

先日ご案内した「開米のドキュメント道場　リアル版　第3回」を昨日（8月5日）開催しました。

今回は　IPAテクニカルウォッチ「攻撃者に狙われる設計・運用上の弱点についてのレポート」の公開についての概要文書　約1ページ強を課題文書にして行いました。

目標は、

（１） 経営者に注意喚起をするための5行の要約をつける
（２） 問題点を簡潔に表す一枚のチャート（図）をつける

の2つです。

原文には一応必要なことは書かれているのですが、上記（１）（２）が明示されているとは言いがたく、セキュリティの担当者レベルでは読んで理解できるにしても、担当者が自社の経営層にそのまま見せて注意喚起をするには向きません。そこで経営層に最低限の注意を促すための（１）（２）の情報を追加しよう、というものです。

↓こちらが検討途中の様子。こんなふうにポストイットに情報を分解して書き出し、分類整理してポイントを見つけていきます。

結果、「（１）経営者に注意喚起をする」にはおおまかに次のような論理構成が必要なことがわかりました。

要するに大筋としては「危険な状況です（注意喚起）」→「だからこうしましょう（行動指示）」という話をするのですが、「危険な状況です」を伝えるための要素はさらに「一般論」「抽象化」「個別化」に分類できます。

「一般論」は、世間一般で○○が多発している、という話。
「抽象化」は、その多発事例から読み取れる何らかの共通性。
「個別化」は、その共通性が自社（自分）にも当てはまるという指摘。

この3要素があれば「注意喚起」として役に立ちます。

ではそれぞれ具体的にはどうなるかというと、今回の課題文書の場合は

一般論：標的型攻撃による機密情報の漏洩事例が相次いでいます。
抽象化：利便性や運用上の効率を重視したシステム設計を悪用される例が多発しています。
個別化：当社の情報システムについてもその懸念が当てはまります。

ということになります。

一方、「行動指示」というのは「こうしてください」という提案なので、この先を読めば役に立ちますよ、という有益性をアピールする必要があります。今回の課題文書の場合、典型的な事例を分析して考え方をまとめたレポートがあるということなので、それを簡潔に書けばよいでしょう。

以上により、（１）経営者に注意喚起をするための5行の要約をつける　の完成形は下記のようになります。

【注意喚起】
標的型攻撃によって機密情報が漏洩する事例が、政府機関・民間企業を問わず相次いでいます。
それらの事例に共通するのが、利便性や運用上の効率を重視したシステム設計を悪用されていることです。
この懸念は当社の情報システムについても当てはまりますので早急な対策が必要です。

これに続いて「行動指示」も必要ですが、「行動指示」は誰を相手にするかによってそれぞれ違ってきます。たとえば

【行動指示】
（対：経営者の例）事例と考え方をまとめたレポートをもとに当社に必要な対策を考えるため、担当者の稼働時間の確保をお願いします。
（対：担当者の例）事例と考え方をまとめたレポートを参考にして、当社に必要な対策を考えてください。

ということですね。

特に「注意喚起」における「一般論」＋「抽象化」＋「個別化」のパターンはよく使うものなので、覚えておくと役に立ちます。