オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

性善説と性悪説だけで情報セキュリティは出来ない

»

【内部統制】人を用いるには性善説、管理するには性悪説で臨む高橋さんのエントリーを拝読しました。

企業に於ける「戦略的な情報セキュリティ管理」の観点から「アイデンティティ管理」を推進してきました。「アイデンティティ管理」とは、その従業員の企業に於ける役割に照らし合わせて、システムやプロセスへのアクセス権が「正しく」認証されているか、と言うことです。

サンが考える「戦略的情報セキュリティ管理」のようです。

情報セキュリティの管理方法は、多々に渡ると思いますが、あくまでも技術的に出来る”その1つ”だと考えています。

私の考える内部統制の範囲は、財務だけに限っていないことです。この内部統制の範囲に違いがあったようです。定義をしなかったのがマズかったです。

人には「性善説」で、管理するには「性悪説」らしいですが、

内部統制があろうが、無かろうが、ビジネスマンとして「してもいいこと」と「してはならないこと」だけは、根底にあるのではないでしょうか?

私も、性善説から性悪説だと思うようになりましたが、そもそも人間のパターンってそんなに簡単に”2つ”に別けられるのでしょうか?最終的に行き着いたのは、どっちもアリで、安易に型にはめるべきでない。になりました。こんな善悪の両面を人間は誰しも内面に持っている。ことを知ることが大切であると考えています。人と管理機能を別けることで、何とも明快に見えますが、別けられないものであると、私は考えています。人は機械じゃなく、生ものですから・・・

情報セキュリティ対策の中で、「人」の行動が中心に来ると考えています。何をしようが、犬でも猫でもない。人間がするのです。管理するのも、されるのも、ルールを作るのも・・・人が作ったものを人がする。

またまた、考える機会をいただきました。高橋さん、ありがとうございました。

Comment(2)

コメント

新倉さん、
 
情報セキュリティの定義も内部統制の定義も、我々ふたりの間でちょっと(かなり)異なっているような気がします。
 
私が言っている内部統制は2009年施行の「金融商品取引法」の一部規定を指しています。また、情報セキュリティについては、IT技術で管理する部分を言っています。だからこれ以外にも、OSやWebサイトのセキュリティの話が出てきてしまい、おそらく新倉さんの話とは異なってくるのでしょうね。
 
よくある例ですが、動物の「象」の話で、私がしっぽの話をしていて、新倉さんが耳の話をしているようなもんでしょう。でも、重要なのは、しっぽも耳も象の一部であるということです。
 
IT技術を使った情報セキュリティの管理は、基本的に性悪説に立って構築せざるを得ません。私の話の延長で、思いっきりぶっ飛ぶ話では、たとえば、セキュリティクラスの高いデータは、レイズドフロアから潜ってデータのあるマシンに到達できないようにする、といった方法論まで出てきます。新倉さんのお話にはそういった事はでてこないと思います。
 
私も実は二元論が嫌いで、性善説と性悪説だけで世の中があるとは、まったく思っていません。ただ、IT技術による情報セキュリティ管理が性悪説だからって、人事管理を性悪説ではやってはいけない、と言いたかったのです。
 
短いブログの中で、本質を表現する難しさがありますね。まだまだ、表現力が足りないようです。

とおるさん。コメントありがとうございます。

色々と勉強させていただいております。

>IT技術を使った情報セキュリティの管理は、基本的に性悪説に立って構築・・・
仰る通りですね。私は「攻撃が最大の防御」だと考えています。

>私も実は二元論が嫌いで・・・
二元論が必要な時もあると思いますが、必要悪てきな使い方でしか使わないようにしています。それでも使うのですが(笑)

>短いブログの中で、本質を表現する難しさ・・・
私の拙い日本語だと思います。本質を表現する、それも文章ですることは、さらに難しいと思っております。

気がつく、きっかけを頂きました。感謝申し上げます。
今後とも御指導よろしくお願いいたします。ありがとうございました。

コメントを投稿する