性善説と性悪説だけで情報セキュリティは出来ない
【内部統制】人を用いるには性善説、管理するには性悪説で臨む高橋さんのエントリーを拝読しました。
企業に於ける「戦略的な情報セキュリティ管理」の観点から「アイデンティティ管理」を推進してきました。「アイデンティティ管理」とは、その従業員の企業に於ける役割に照らし合わせて、システムやプロセスへのアクセス権が「正しく」認証されているか、と言うことです。
サンが考える「戦略的情報セキュリティ管理」のようです。
情報セキュリティの管理方法は、多々に渡ると思いますが、あくまでも技術的に出来る”その1つ”だと考えています。
私の考える内部統制の範囲は、財務だけに限っていないことです。この内部統制の範囲に違いがあったようです。定義をしなかったのがマズかったです。
人には「性善説」で、管理するには「性悪説」らしいですが、
内部統制があろうが、無かろうが、ビジネスマンとして「してもいいこと」と「してはならないこと」だけは、根底にあるのではないでしょうか?
私も、性善説から性悪説だと思うようになりましたが、そもそも人間のパターンってそんなに簡単に”2つ”に別けられるのでしょうか?最終的に行き着いたのは、どっちもアリで、安易に型にはめるべきでない。になりました。こんな善悪の両面を人間は誰しも内面に持っている。ことを知ることが大切であると考えています。人と管理機能を別けることで、何とも明快に見えますが、別けられないものであると、私は考えています。人は機械じゃなく、生ものですから・・・
情報セキュリティ対策の中で、「人」の行動が中心に来ると考えています。何をしようが、犬でも猫でもない。人間がするのです。管理するのも、されるのも、ルールを作るのも・・・人が作ったものを人がする。
またまた、考える機会をいただきました。高橋さん、ありがとうございました。