三菱UFJ証券の個人情報持ち出し事件に対する一部のメディアの報道を見ていて感じたこと。あらためて、情報セキュリティにおいてのリスク管理への考え方の甘さ、つまり事故は防げる(おきないでほしい)という楽観論がまだ、はびこっているし、予防することが「セキュリティ」だと思っている人たちが多いことを強く感じた。メディアについてもそうだ。またしても、「性善説の限界」といった表現を持ち出したメディアもある。
何度もいうが、正しいリスク管理は「事故前提」で、予防策だけではなく、発見、対処についてもきちんと対応できるシナリオと体制を用意することだと思っている。いわゆる「性善説」のセキュリティと表現されているものは、発見、対処のプロセスが抜け落ちた欠陥セキュリティにほかならず、人の本来の性質を云々する「性善/性悪」説とは無関係だ。一方、「性悪説」という言葉は、その本来の意味はさておいても、自分が疑いのまなざしで見られているという印象を万人にあたえ、(大半をしめる)善き人たちの心までをも曇らせてしまう。ITやセキュリティを生業とする方々のみならず、メディアのみなさんも、この言葉を安易に使うことは避けてほしいと思う次第だ。何が善人を悪に変えるのか、さまざまな理由もあるが、自分が周囲から正しく扱われていないという不満や猜疑心の拡大が少なからず影響するということも忘れないでほしい。社員マインドの低下は、悪の呼び水となる。「性悪説」を声高に叫ぶことは、自ら火をつけていることにほかならない。少数の悪人をけん制するために、大方の善人を犠牲にしているようなものだ。悪人のけん制は、確実なチェックと不正行為に対する適切な処罰で十分であり、それは「性悪説」を叫ぶ以前に、本来されていなければならないことだ。くれぐれも、こうした部分の手抜きを「性善説だった」といい逃れる経営者に手を貸さないようにしたいものだ。
コメントする