情報セキュリティ大学院大学兼任で中央大学助教授の内田勝也氏のインタビュー記事を読んだ。
情報セキュリティの現場で起きている『教育不足』(後編)
この中で特に印象深い部分を引用する。少し長くなってしまうが。
(前略)情報漏えい対策をめぐる「性善説と性悪説」についてはたびたび論議されていますが、平気で性悪説の採用を公言する経営者がいます。しかし、これは「俺はこれから社員を一切信じない」と言っているのと同じ。経営者として言ってはならない言葉でしょう。
さらに別の企業では、個人情報漏えい事件の発覚にあたり自社内を調査した結果、「犯人を20名の範囲まで絞ることができたが、それ以上の追求は難しい」と発表しました。20名の中に犯人がいる可能性は非常に高いわけですが、逆にいえば多分、19人が身に覚えのない疑いをかけられていることになります。経営者はこのことを理解して発言しているのでしょうか。もし、経営者自身がその中に含まれているような状況を考えたら、このような発言はできないでしょうね。20人までしか絞れなかったかということは、セキュリティ対策を行っていれば犯人を特定できた上に、犯人でない人を犯人扱いしなくて済んだのです。
セキュリティは、社員を監視したりコントロールするためのものではありません。(中略)何のためにセキュリティ製品を導入するのかを理解すべきです。セキュリティ製品はアカウンタビリティを確保するためのもの。犯人を捕まえるためのものであっても、犯人でない人を犯人扱いするものではありません。ましてや、「お前を信じない」といった性悪説的な考え方で利用するためのものではないのです。責任を明確にし、きちんとした管理を行うことと、性善説や性悪説を採用するとこととは全く別次元の話ではないでしょうか。「これまでは性善説でやってきた」というのは、単純に管理を怠っていただけだと思っています。(後略)
正直言って、目から鱗が落ちた。セキュリティ対策を行うことにより、「犯人でない人を犯人扱いしなくて済む」ようになる、わけだ。セキュリティ対策に関して、私の中でこの視点が全くなかったので、非常に驚いた。
情報の価値が重要になり、取り扱いが難しくなっている今日この頃。個人レベルでの気遣いだけでは対策しきれない。悪意を持った内部社員も存在し、他者を陥れるようなことが行われてしまうかもしれない。だからこそ、しっかりとした情報セキュリティ対策を行うことで、会社が罪のない社員を守ることが出来るようになる。何かがあった時に犯人を見つけるだけ、ではなくそれ以上の意味合いがあることに気付かされた。
悪意を持った連中が消えることは今後あり得ないだろう。だからこそ、そのような連中に対してしっかりとした情報セキュリティ対策を行える人材がより求められていくであろう。
