- 「セキュリティ・ポリシー」は,「ネットワークは破られてはならないもの」から出発する。
この立場は,「ネットワークは破られるもの」の立場を退ける。
「破られてはならないもの」「破られるもの」の選択肢の意味は何か?
一つに,コストである (コストの内容は,管理労働と経費)。
セキュリティは,コストとのトレードオフで考えられる。
ハイ・セキュリティを求めれば,ハイ・コストになる。
また,この選択肢には,「共生」の考え方の違いがある。
「破られてはならない」を立場とする者は,「破られてはならない」を他にも及ぼす。
このことで,迷惑な存在になる。
一方,「破られるもの」は,「共生」の敷居が低いことを望む立場である。
- 「セキュリティポリシー」は,「規則遵守」をセキュリティが実現されている形とする立場である。
「セキュリティポリシー」作成の後には,「遵守義務」がくる。
「規則」の立場は,「良識 (不文律)」の立場を退ける。
「規則」「良識」の選択肢の意味は何か?
「良識」が採られるのは,自由・融通を保つためである。
「良識」は信用ならない (性悪説) となるとき,自由・融通は「悪さをする」の意味になる。
そこで,統制のための「規則」に向かう。
- 「セキュリティポリシー」は,ネットワーク管理者を「人を管理・統制する者」にする。
この立場は,「ネットワーク管理者=ユーザの利便性を考える者」の立場を退ける。
特徴的なことに,組織執行部は「情報セキュリティ委員会」を人の管理組織として用い,そしてこの中にネットワーク管理者を取り込む。
「セキュリティ」を名分とする「人の管理・統制」は,通りやすい。
感覚麻痺して,「何でもあり」になる。
例えば,個人の PC にインストールされているソフトウェアは,「情報セキュリティ委員会が関知すべきでない情報資産」である。
しかし,不用意でいると簡単に「関知すべき」に転じる。
- 「セキュリティポリシー」は,「失敗忌避」の立場になる。
失敗は,コンプライアンスだの失敗の報告義務だのと,ただ形式的に大騒ぎされる。
大騒ぎは,「失敗=罪」の雰囲気を醸成する。
そして,失敗しそうなことを封じる管理・統制,失敗に対する臆病が,進行する。
- 「セキュリティポリシー」は,「マニュアルで処理」の立場である。
実際のところ,ひとはマニュアルをつくることはできるが,マニュアルを読まない・読むことができない。
マニュアルをつくる側は,マニュアルをつくったことで問題が解決したつもりなる。
「セキュリティポリシー」の効用は,ポッカリ大きな穴をあけるだけというネガティブなものである。
|