本音を書けば、最近、セキュリティなんて仕事をやっているのがだんだん窮屈になってきた。特に、情報漏洩騒ぎに端を発した管理強化やことさらな内部統制強化が叫ばれはじめて以来、どんどん肩の荷が重くなっていく。それはそれでセキュリティという考え方がようやく市民権を得たのだと考えれば、喜ぶべきことなのだろうが、なんだかしっくりこない。その理由を考えてみると、世の中的に、セキュリティ=管理強化・・・といった風潮が強くなっている結果、セキュリティ対策として自分が考える施策が、逆にどんどん技術者としての自分の自由度を狭めてしまっていることが大きい。セキュリティ屋の責任が重くなるのは、むしろ望むところだが、その責任と自分の向いている方向とのバランスをどのようにとっていくか・・・というあたりが目下、個人的な悩みどころだ。
見方を変えれば、この窮屈感は自分以外の多くの技術者や研究者にも共通した悩みであるのだろう。ある発想が浮かんだら、すぐさまそれを試してみたい、実証してみたい。そう思うのが技術屋だ。しかし、何かするのに、手順書やら承認やらめんどくさい決まりがいっぱいできてしまうと、それを考えただけで気持ちが萎えてしまう。ちょっとキリが悪くて仕事を持って帰りたい・・・と思っても、それは簡単ではない。もちろん、無意識にそうしたことをすることによって起きるリスクは十分わかっているし、それを避ける方法も知っているのに・・・である。
ある意味で過剰反応ともいえるこんな風潮が出るのは、つまりはリスクに対して個別の議論抜きで、ばっさり網をかけるような対策に終始していることが原因だと思う。つまりは、一番高いリスクを念頭に、かつ一番意識の低い人たちに合わせた対策を考えてしまっているからだ。一番バカな連中に合わせて物事を決めていたら、普通の、ましてそれ以上の技術者たちはみんな嫌気がさしてしまうにちがいない。結果として、日本はユニークな発想ができる技術者や研究者をみんな失ってしまいかねないなと危惧している。(日本は・・・・以前にまず自分の発想が萎えることが心配なのだが・・・) つまりは自分たちのためのはずのセキュリティが結果的に自分の首を絞めているということだ。
なんとか緩急をつけたセキュリティ対策を・・・・とあれこれ考えているが、まず最初の一歩であるリスク評価の(社会的に納得感が得られる)方法論が確立していない。とりあえず、自分の周囲だけでも・・・と説明可能な評価方法をあれこれ模索しているが、結果とした考えられた対策レベルで何か大きなインシデントが起きれば、その評価方法そのものの是非を問われかねないだけに、考えているとどんどん深みにはまっていく。まして、それを自分の組織の標準にしようと考えれば、様々な調整、説明、交渉ごとも発生する結果、どんどん自分の仕事が増えていく。しかし、だからといって諦めてしまえば、自分の仕事がどんどんつまらないものになっていく。どちらにころんでも自分の首を絞めてしまうのなら、前に進んでいくしかなさそうだ、というのが今のところの結論である。
はてさて、いつまで息が続くやら・・・・・
コメントする