選択
「記事とは直接関係しないコメント。」
「セキュリティを向上せよ」と云う指令なんだけれども、このまま現場まで降りてくると「何をやったかを上司に報告するため」にセキュリティ確保をすることになってしまっているように感じることがある。そのため、提案する側との会話が噛み合わず、「完全なセキュリティが欲しいなら、ネットのケーブルを抜いておけ!」と言いたくなることもある。「何か問題があったらどうしよう?」不安に思う気持ちは分かるのだが…。
家に鍵を付けたところで、窓ガラスを割ってくる侵入者は防げないし、窓に鉄格子を付けたところで、「宅急便です!」と身分を偽る侵入者は防げない。で、それが分かっているから家に大金を置かずに貸金庫に預けたり、金や土地に替えて分散させたりする。だけれども完全なんてない訳で、それぞれの価値判断で、どの問題への対策にいくらの金額を使うのかを決めている訳だ。
ネットのセキュリティも同じで、まずはどのような問題があるのかを整理する必要がある。思いつくところで進入、漏洩、破壊、改竄などの問題があり、これらを優先順位付けして、費用の割り振りを考えないことには、無駄な出費になってしまう虞がある。提案されたセキュリティ製品をそのまま導入していては、手に負えないインフラ管理をすることにもなりかねないし、効果のない対策をしてしまうこともあるだろう。
例えば、大抵の会社で導入しているプロクシ。URL をチェックして仕事に無関係のサイトにアクセスさせないようにしていたりするけれども、google のキャッシュなら見れるし、たぶん他にも抜け道はあるから、実質的にはあまり効果はなさそうだ。見ては行けないサイトがあることを知らしめる効果はあるだろうけど、もっと安く済ませる方法がある。不謹慎なサイトを見ていた従業員を一人解雇するとかね。
別にセキュリティには限らないのだけれど、まずは、問題を把握すること。次は問題を吟味すること。そもそも解決する必要があるのか? ってね。それから対策の検討を勧める望ましい道順のはずだ。どうも世の中、問題部分は空洞のままで対策についてだけ話し合われてしまう傾向があって、混乱を助長している気がする。
