V.S.A. III

こんにちわ，五十嵐です．先日「審判をロボットにできないものか」(2006/06/20)という記事を書きましたが，奇しくも本日(2006/06/23)の日経新聞スポーツ欄に，ゴール判定のハイテク化の話とともにオフサイドの判定を危惧する記事が載っていました．

部活動などでサッカーをやっていると，下っ端が線審をやることがあります．私もご他聞に漏れず経験したわけですが，このときに一番苦労するのがオフサイドの判定です．この判定が IT 化できるとかなりすっきりするんですけどねぇ．．．

さて，同じく日経新聞に情報漏洩の話題が載っていました．その記事の中で「性悪説」という言葉が使用されていますが，この言葉は本来は「人間は欲望を持っていて安楽を求める(悪)ものであるが，努力によって聖人になることができる」という意味です．最近では「人間は生来，悪いことをするものだ」という意味に使われがちですが，本来の意味ではないことを認識して使った方がよいでしょう．日経新聞ですらこの意味で使用しているようですので，既に手遅れかもしれませんが．．．

「情報セキュリティはなんのため？」(2006/06/05)という記事の中で，世の中の安全･安心のためにというということを書きましたが，これは非常に大きな視点で見た場合です．上に書いたような俗に言う「性悪説」の視点というのは，経営者側の視点であり，「情報資産」の持ち主がいかにそれを守るかというのが情報セキュリティの目的になります．

ところが，従業員にとって「情報資産」を守るという行為は，余計な作業でしかありません．ここに経営者側と従業員側との間に大きなギャップがあります．それに気づかない限り，情報資産を守る行為そのものを教育しても，従業員には身につかないと私は思っています．

従業員の視点では，自分自身を守るものこそが情報セキュリティだと認識させるのがよいと思っています．つまり，情報を守るためにどうするかということを教育する前に，情報が漏洩したら自分自身にどのような弊害があるのかということを認識させることが，必要ではないでしょうか．

満員電車の中で，男性ならば痴漢に間違われないように手を上に上げておくなどの対処を自分で行っていると思います．そうすることで，冤罪を着せられるのを予防するわけです．情報セキュリティでも同様なのではないでしょうか．自分の無実を主張するためには，それなりの予防策を自分で行う必要があります．また，そのためには自分の PC の振る舞いをすべて(自動的に)記録することも厭わないのではないでしょうか．

自席の PC が盗まれたという設定で，抜き打ち訓練をしてみてはどうでしょうか．一体，その PC の中にはどんな情報が入っていたのか，その PC にログインできてしまうとどのようなことができるのか，など．そういうことを自ら把握できる人がどれだけいるでしょう．かくいう私も今こうしてこの記事を作成している PC の中のすべての情報を，この PC なしに列挙せよと言われてもそのような準備は出来ていません．立ち上げ時の BIOS パスワードは設定してあり，ディスクの暗号化ソフトは入っていますが，立ち上がっている状態で盗まれてしまった場合，それらがほとんど意味を成さないのはご想像の通りです．このとき，私にはどんな言い訳ができるのでしょうか．．．

ノート PC を(入退室管理が行われている)執務室から出さないという前提で，セキュリティレベルを下げるということもあるようですが，本当にそれで大丈夫なのかと心配になります．仮に情報セキュリティ対策を施していないノート PC が正当な入退室権限を持つ人に盗まれた場合，経営者視点での情報資産の漏洩防止という面でもそうですが，自分はどんな処罰を受けることになるのだろうと考えると怖くなります．情報資産を守るという点だけでなく，漏洩事件が起きたときに，自分はやるべきことはやっていたと主張できるような仕組みを作り上げるという点からもシステムを考えて欲しいと思っています．

情報セキュリティの教育は，このような視点で行う方が，より意識が高まるのではないかと思います．不便さばかりが強まる中，それが自分自身を守ることにつながるという意識は，情報資産を守るという視点よりも，より浸透しやすいのではないでしょうか．

カテゴリ：情報セキュリティ

<< Firefox は最新版を使おう | Main | 自動車事故を減らすには罰則を強化すればよいのか？ >>