今回も他の方のblogを見て考えたことです。他人の褌で相撲を取る、ということですね
丸山さんのBlogで、とある記事が紹介されていました。
↓
日本企業を縛る米国流SOX法に無理に付き合う必要はない
米国企業が性悪説で日本企業が性善説、ああ又かと思いました。性悪説性善説の件は、このBlogでも過去に何度か取上げています。私は、性悪説性善説 を以って、情報セキュリティを判断するのは、そもそも反対です。したがって、記事の締めになっている’日本は日本独自の「性善説」で行こうではないか’にも賛成できません。しかし、記事の中で、印象に残る記述がありました。
記事中にある
>日本企業では分掌規定にそもそも重点を置いていないのだ。
印象に残りました。これ、その通りだと思います。アクセスコントロールを実装する場合、職務分掌が明確でないと苦労します。過去の経験からくる実感ですが、’職務分掌の明確な日本企業’にお目にかかったこが無いんですね、私の場合。
アクセスコントロールの観点からは、宜しくないのですが、職務分掌を明確にせず皆で助け合う、日本企業の特徴であり、ある意味強みであったとも思います。したがって、私としては悪いとも言い切れず、悩みの種でありますね。
アクセスコントロールの基本は、アクセス権は人ではなく職務に対して設定する、所謂ロールベースが基本です。そのためには、職務の分掌が明確に定まっていることが重要なのですが、日本企業はそこを曖昧模糊にしているか、厳密性に欠ける場合は少ないようです。部門無いの業務に精通したパート社員に部門長がお伺いをたてるという場面も、決して珍しくありません。一部企業は、そういった非正規雇用の従業員の正社員化を図っているようですね。
職務j分掌が明確でないので、どうしてもアクセス権を個人に設定するという属人性の高いものになってしまいます。当該人の異動等に柔軟に対応できず、アクセス権の改廃を適切の行えなくなり、結果として、アクセスコントロールの形骸化を招く、というのがお決まりのパターンえすね。
属人性の高いアクセス権の設定
↓
当該人の異動
↓
アクセス権設定の不適切な改廃
↓
アクセス権管理の形骸化
日本企業は、期無分掌を明確せずお互いに助け合うことで、企業活動を活性化してきたとも言えるのだと、私は考えています。そうなると、アクセスコントロールの基本からは、甚だ宜しくないのですが、では悪いかと言えるか・・・・ それも言い切れない(私個人は)、ジレンマがあります。
悩ましいところです。皆さんは、以下にお考えでしょうか
0 件のコメント:
コメントを投稿