Up 「PC のセキュリティ対策を立入検査」の場合 作成: 2007-09-21
更新: 2007-09-21

    つぎのことは,情報システム管理者の務めとして,どうだろうか?

      全体のセキュリティのために,すべての PC を対象にセキュリティ対策が適切になされているかどうか,立入検査する。

    一見,問題ないように思われる。
    しかし,この内容をきちんと考えることをすれば,そうではないことがわかる。

      「問題なし」と受け取ってしまうのは,どうしてか?
      つぎのことが人間の傾向性 (あるいは集団心理) として,どうもあるようだ:
        善かれの気持から発する全体主義 (「全体のためである!」) に対しては,思考停止して受け入れてしまう。


    「セキュリティ対策が適切になされているかどうかの検査」は,ことばで書くと一つのことに見えるが,内容的に考えると,非常に複雑なものになる。

    人の健康診断と比較してみよう。
    人の健康診断の方法は,「叩いたらどんな音がする?」である。 叩き方をいくつか用意していて,それぞれに対しどんな音が返るかを見る。 そして,音の正常・異常で,健康に問題なし・ありを判定する。

    PC の健康診断 (PC においてセキュリティ対策が適切になされているかどうかを見る) は,これとは違う。
    PC の診断は,内容チェックになる:

    • OS に付属のセキュリティ設定の内容は?
    • 脆弱性の問題を抱えつつ必携であるソフトウェアについて:
        インストールされているか?
        アップデート状況は?
        設定の内容は?
    • アンチウイルスソフトウェアについて:
        インストールされているか?
        最新のパターンファイルがおかれるようになっているか?

    しかも,「すべての PC が対象」は「マルチベンダ」を意味する。
    よって,「すべての PC に対し,セキュリティ対策が適切になされているどうかを検査する」は,PC 一つひとつを「じっくり覗く」になる。
    そして,「じっくり覗く」は「ひとのプライベートを覗く」に通じる。


    果たしてこれは,行えることだろうか?
    情報システム管理者にとって,これはやろうと思っても簡単にできることではないし,また安直にやってはならないことである。

    「勇み足」をしないために,また,危ない方向に進まないために,「どんな事情のときに,どんな体制で,どんな作業条件で行うか」ということを,先ずはきちんと構造化しておく必要がある。
    ──これをすることで,「PC の一括強制立入」が基本的人権の問題とどう係わるかも,学ぶことができる。