以下、引用
10年程前でしょうか、CISA試験のための勉強会に出席した折のことです。アクセスコントロールの件でちょっとした議論になりました。当時は、日本企業でアクセスコントロールを厳密に実施しているケースは少なく、出席者の一人はその理由として「日本企業は外資系と違って性善説だから」と、日本企業=性善説、外資系企業=性悪説とステロタイプな理由を言っていました。その勉強会に出席していた外資系企業の社員が、外資系企業でも、しっかり面接をして信頼できる人を採用しようと努力している、基本的に社員を信用しないと組織は維持できない、アクセスコントロールを行うのは性悪説だからではなく、リスクに対する備えだと、静かにですが、断固たる態度で反論していました。
私は、この性善説/性悪説の議論ほど不毛なものはないと思ってますし、害あって益無しと認識しています。決着することは決して無く、極端になるとアクセスコントロールを行うのは社員を信用していないことになる、だからやらないなどということになります(実際にこういうお客様がいました)。
悪意はなくとも不注意な権限無きアクセス、不用意なアクセスもあり、そこには漏洩リスクも存在します。性善説/性悪説によるアクセスコントロールではなく、リスクに対する備えとしてのアクセスコントロールなんだと認識したのが上記勉強会でした。
哲学的思考として性善説/性悪説を考えていくことは兎も角、情報セキュリティの中で、性善説/性悪説を議論するのは、もう止めにすべきではないでしょうか。
0 件のコメント:
コメントを投稿