2005年7月18日月曜日

性善説/性悪説

以下は、丸ちゃんの情報セキュリティ気まぐれ日記の記事への私のコメントの再録です。一度、このBlogでも取り上げようと思っていた話題なので、そのまま引用しました。皆さんのご意見だの投稿していただくとありがたいです。

以下、引用

10年程前でしょうか、CISA試験のための勉強会に出席した折のことです。アクセスコントロールの件でちょっとした議論になりました。当時は、日本企業でアクセスコントロールを厳密に実施しているケースは少なく、出席者の一人はその理由として「日本企業は外資系と違って性善説だから」と、日本企業=性善説、外資系企業=性悪説とステロタイプな理由を言っていました。その勉強会に出席していた外資系企業の社員が、外資系企業でも、しっかり面接をして信頼できる人を採用しようと努力している、基本的に社員を信用しないと組織は維持できない、アクセスコントロールを行うのは性悪説だからではなく、リスクに対する備えだと、静かにですが、断固たる態度で反論していました。

私は、この性善説/性悪説の議論ほど不毛なものはないと思ってますし、害あって益無しと認識しています。決着することは決して無く、極端になるとアクセスコントロールを行うのは社員を信用していないことになる、だからやらないなどということになります(実際にこういうお客様がいました)。

悪意はなくとも不注意な権限無きアクセス、不用意なアクセスもあり、そこには漏洩リスクも存在します。性善説/性悪説によるアクセスコントロールではなく、リスクに対する備えとしてのアクセスコントロールなんだと認識したのが上記勉強会でした。

哲学的思考として性善説/性悪説を考えていくことは兎も角、情報セキュリティの中で、性善説/性悪説を議論するのは、もう止めにすべきではないでしょうか。



0 件のコメント:

コメントを投稿