このところのストレスのタネにもなっている社会的パラノイア。Winny情報流出頻発の影響で、なにやら妙ちきりんな状況になりつつある。
情報漏洩対策(・・・・というよりは情報管理)を強化するのはいいが、それを自己目的化してしまうと、本来使ってこそ意味がある情報やシステムが必要な局面で使えなくなってしまうという本末転倒が発生する。ルールを決めるのはいいが、それが本来の仕事を大きく阻害してしまえば、結果的にルールそのものが形骸化する。なぜなら、資本主義の社会である以上、仕事=稼ぎが至上課題であるからだ。本来このバランスを考えるのが、セキュリティを管理する人たちの仕事であるはずなのだが、どうも世の中を見てみると、そうはなっていない。それもそのはず、こうした人たちの多くがセキュリティ以前にITをよく知らない。たとえば、P2Pという言葉の本来の意味も知らなければ、Winnyとウイルスを混同していたり、ウイルス対策ソフトを入れて最新のパターンを使用し、パッチをすべてあてておいてもウイルス(広い意味での・・・)感染はゼロにできないことも知らない。これを読んで、「えっ?」と思った人はちょっと考えた方がいいかもしれない。(マジで) リスクとかリスクの管理という言葉は知っていても、それがビジネスの効率とのバランスの上に成り立つことを知らない。もっと言えば、セキュリティリスク=自分の首へのリスクだと考えている人たちが多すぎるような気がする。
そもそも「性悪説」という言葉を使いたがるのもこういう人たちだ。これまで何度も書いているが、この言葉ほど会社にとって危険な言葉はない。言いたいことはわかる。これまで社員はみんな善良な人だという前提で考えてきたが、これからは悪い人がいることを前提で考えたい・・・ということなのだろう。しかし、そもそも「性悪説」という言葉の意味はそんな意味ではない。Wikipwdiaによれば、「悪」という言葉自体の解釈が、いわゆる「悪人」の「悪」とは違うらしいのだが、哲学的な意味はさておいても、聞く側にとって非常に響きが悪いのも事実だ。この言葉を言われた側は、お前らはみんな性悪(しょうわる)だと言われたのに等しい衝撃を受ける。これほど、善良な社員のモティベーションを下げる言葉があろうか。そういう意味で会社にとって非常に危険な言葉なのだ。
あえて言うならば、まっとうな会社で、その社員のほとんどは善良な人間である。でなければ、会社なんて成り立つはずがない。ただ、善良な人間とて、間違いはあるし、場合によっては悪事に手を染める可能性もないとはいえない。中には、すでにダークサイドにむしばまれた悪人も少数ながらいるかもしれない。つまり、会社は善意の上に成り立っているが故、悪意に対して備えていなければならないのである。一握りの悪人から、会社と多くの善良な社員を守る努力は、「性悪説」なんか振りかざさなくても、当然の責務といえる。情報漏洩の謝罪会見で、これからは性悪説で・・・などど言うようなおバカな会社幹部は、つまりは、この責務を果たしていなかった言い訳をしていたにすぎないのだ。
話を戻そう。さりとて、リスクとビジネスのバランスを取ることは言うほど簡単ではない。定量的なリスク評価をして、金額的に天秤に・・・というほど単純なものでもない。結局、セキュリティの施策を打ったら、その有効性だけではなく、それがビジネスにどんな影響をあたえているかを含めて定性的、定量的にきちんとサーベイし、問題があれば改善していくというサイクルをこまめに繰り返していくしかない。それがセキュリティ管理におけるPDCAサイクルの本質だと思う。
情報漏洩対策への意識の高まりは、これまでセキュリティに無頓着だった企業や行政を目覚めさせたという意味はある。しかし、それが企業や行政のセキュリティ管理の成熟につながるかどうかは、セキュリティ管理に携わる人たちが、きちんと勉強し、まじめにセキュリティを考えていくかどうかにかかっているといっても過言ではないだろうと思う。自戒もこめて考えていきたいと思う。
コメントする