『セキュリティ=禁止』ではない。

何を今更という感じではあるが、『セキュリティ=禁止』ではない。そのはずだ。


でも、それをわかっていない人たちが多すぎるように思う。
少なくとも僕の会社ではそれをわかっていない"なんちゃって情シス担当"によって仕事がやりにくくて仕方なくなってきている。


我が社はコンピュータセキュリティの製品開発やコンサルもやっている会社。
そんな会社がこんな""なんちゃって情シス担当バカ"に決められていいのか?
僕たちセキュリティのプロにそもそもアドバイスを聞くべきではないのかと憤慨もしたが、社長に先に承認をもらわれてしまってからは、とにかくトップダウンだという思考停止状態に陥っている。


しかし、我が社でもこんな感じなのだから、普通の人たちもこんな感じなんだろうなぁ〜。

例えば、個人情報保護法が施行されたとき。

個人情報保護法の本来の目的は、個人プライバシーを厳格に管理することと、それを有効に利用することにあったはずなのだ。
しかし、「有効に活用」とはどこかに消え去ってしまって、何でもかんでも個人情報を持つことはダメというバカみたいな話が多い。
僕たちが生活していく中で個人情報って何だろう。
氏名、住所、電話番号、メールアドレス、なんでも個人情報になる。

しかし、こういうことを隠していたら普段の生活ができないはずだ。
僕は全く隠すつもりもないし、こういう生活するための情報は大いに公開して使っていただきたいと思っている派。


ところが、やっぱり社会的にはこの手の情報を集めることは禁止とすることがなのです。
利用目的がどう、同意がどうとか面倒くさいことを言われるんだったら、禁止にした方が簡単なんです。
それによって、情報不足で町の運営や、学校行事、学校の連絡網がうまく機能しなくなっても、一度禁止に決めたことに逆らうつもりはない。
『一律禁止』、『原則禁止』。
誰かがこう言ってくれて、周囲も納得してくれたのなら、こんな簡単なことはない。
もう何でも禁止なんだからダメなものはダメなのだ。なんと簡単で短絡的な思考回路なことか。

これは自分で考えることのできない人間の脳みそということになる。

例えば、企業による秘密情報流出事件が起きたとき。

秘密情報がWinnyなどで流出したり、ノートパソコンが盗難に逢ったりして流出するという事件はいまだに後を絶たない。

Winnyと盗難では過失があるかどうかが全く異なっているので、同じ情報流出として一まとめにすることは問題があるかもしれないが、"情報流出"という結果だけをみると同じである。)
コンピュータがインターネットに繋がっているということは、どこかには必ず何か弱点・盲点があることは必然のこと。
完璧に穴のないもの、穴をあけることができないものなんて、世の中に存在するわけがないじゃないか。


コンピュータが直接インターネットに繋がっていなくても、それを操作する人間がいるかぎり、その人間を通して情報はコンピュータの外に持ち出されることになる。
その人間がUSBメモリなどの外部メディアで持ち出すということを防いでも、その人間の頭の中に取り込まれた情報までは取り除くことはできない。これは極端な例えではあるが。


こういった事件が発生すると、やっぱり『情報持ち出し禁止、コンピュータの持ち出し禁止』になってしまうのだ。

『禁止』してはいけないのか。

『コンピュータや情報を一切持ち出すことを禁止する』といった頭ごなしの対策をすると、何が問題なのだろうか。


ほとんどの場合、コンピュータを会社の外で使っている人たちは会社のための仕事をするために持ち出しているはずだ。
例えば1000人の従業員がいて、その中の1人が悪かったとする。0.1%の従業員が悪者だったとする。

その一人の問題を防止するために、業務コンピュータの持ち出しを禁止した場合にはどうなるのだろうか。


会社以外では仕事ができない。そのために、残業や休日出勤が増え、人件費が増える。
さらに、訪問先でも仕事ができない。会社に持ち帰って判断することになる。営業の機会が逃し、売り上げが落ちる。


収入が減り、支出が増える。
この禁止令によって得た社会的信用によてt、このプラス・マイナス分を埋め合わせることはできるのだろうか。
この点が甚だ疑問。


僕たちが考えなければならないことは、業務効率を維持しつつも、どうやって安全性を高めるかということだ。
これに頭を使わずに、何でもかんでも『禁止』にすることは会社としての売り上げ・利益をあきらめることにある。


『セキュリティとユーザビリティは相反する、トレードオフが必要だ。』
これは当然理解している。
ただ、トレードオフのためにはどこかでバランスを決めてあげる必要がある。
ほとんど発生することのない盗難事件まで考えて、厳しい対策を実施することはばかげているとしか言いようがない。


でも、僕もコンピュータセキュリティに携わるものとして、『セキュリティとユーザビリティは相反する』という常識を忘れた方がよいのではないかと近頃では考えている。
やっぱり最大限に安全で便利な世の中にしていくためには『セキュリティとユーザビリティが両立する』という世界を考えていかなければならない。



結局、ダラダラと書きなぐっただけで、まったく中身のないエントリとなってしまった。
明日くらいに削除しようかな〜。

書いているうちに書きたいことが変わってくる。
こういうブログで文章を書くスキルを身につけたい。