セキュリティのしきい値

最初に言うが、性善説、性悪説談義をするつもりはない。なぜならば、この言葉はセキュリティを語る場合に「誤用」されているし、多くの誤解を生んでしまうから。

自分自身としては基本的には大多数の「善意」対一部の「悪意」の戦いだと思っているから、大多数に網をかけるような規制よりも、個別にルール違反を潰していくのが正道だと思っている。しかし、これも場合によるのかもしれないと最近思い始めた。善悪の基準は、とりわけ法律などによらない限り、相対的なものだ。たとえば、会社で「サボらずに仕事をする」という不文律などは極めて相対的だし、基準は人によって変わる。それどころか、全体の平均値も、会社や世間の風向きと無縁ではない。会社が（つまりは「偉い人」たちが）考える基準値と、社員の考える基準値の平均の間に大きな差があれば、会社的には、大多数が「悪」になってしまうのだろう。「サボるな」の場合は、明らかに、会社と社員の基本的なベクトルは逆を向いている。もちろん、仕事にきちんと目的意識を与える会社側の努力も必要なのだが、人間、易きに流れるものであることもまた否定できない。こうなるともう会社として各個撃破策ではなく、一網打尽を考えなければいけなくなる。さて、こうした話は、特に社内のセキュリティということを考えた場合に顕著だ。当然、社員の意識の底上げ（ちゅうか、会社にとって望ましい形に・・だが）努力としての啓発はしなければならないのだが、各個撃破と全面対決の判断のしきい値をどこにおくかが難しい問題だ。管理職の側からと社員の側からの利害はその負荷の面でも対立する。各個撃破は管理する側にとって負担が大きい。一方網掛け的な規制は、管理する側は楽だが、「善意の社員」にも不便をかけてしまうし、反発を買うことで、彼らを「善意」から遠ざけてしまう可能性もある。たとえば、「課」や小さな「部」くらいの単位ならばいいが、会社全体のルールをどこまで細かく（厳しく）するかという問題はかなり悩ましい。それが「善意」と「悪意」の間のどの位置にあるべきなのか・・・・。一つの解は求めようもない。常に、最適なしきい値を設定していくしかないのだろう。

しかし、そんな面倒に自分が耐えられるかどうか・・・・それが大きな問題だ。