2018年11月14日に初出の投稿

Last modified: 2018-11-14

New features that IT implements introduce more vulnerabilities, more systems to secure, and more risks. Information security staffers have additional headaches for every new system introduced to the environment. Therefore, a separation with distinct executive authorities should be maintained to serve as a check and balance to each other in the same way that a finance department exists to create a budget and prevent one department from spending all of the company's profits.

RIP, 'IT Security'

簡単に言うと、組織の情報セキュリティというものは、一方では管理策を中心としたマネジメントによってリスクレベルを制御すること(「管理策」は英語で "controls" だ)であり、他方では各種の技術によって事故を防いだりフォレンジックスを行うことでもある。しばしば、これら二つの施策は目的が衝突する場合があり、その一例は OS のアップデートを適用するときを想定してもらえばいいだろう。マネジメント担当者は、必要とされるアップデートを組織の全ての情報機器に適用することが望ましいと考えて、即座にアップデートするよう推奨する。しかし技術を理解している担当者は、OS のアップデートが頻繁にトラブルを引き起こしてきたことを知っており、場合によってはファイルが消失したり OS そのものが起動しなくなって業務に支障が出ると考えるので、即座にアップデートを適用するべきではないと主張するだろう。

もちろん、このような場合でも「まずテストマシンに適用して1週間ほど様子を見てから全てのマシンに適用する」とか、「1ヶ月ほど様子を見てトラブルが報告されていないことを確かめてから全てのマシンに適用する」といった、両方の目的を一定のレベルで満たすような手順をとるのが現実的であり、これを全社で正しい手順やタイミングでやってもらうには、小さい会社なら技術者が個人的な信頼によって説得してもいいが、或るていどの業容になると職務権限で実施しなくてはいけないため、マネジメント、つまりは社内での牽制力や強制力が必要となる。したがって、一般論としては業容などに依存する話ではあるが、大多数の組織においては「マネジメントとしての IT セキュリティ」と「技術としての IT セキュリティ」などというジレンマは存在しない。組織におけるセキュリティを担う以上は、マネジメントとしての IT セキュリティが優先して当たり前である。それを理解できないか、技術としての IT セキュリティという意味に拘り続けて特定の職責や職務をマネジメントとは独立に扱おうとするなら、そういう混乱した思考こそが事態を悪化させるのだ。そもそも、会社員がマネジメントや組織のルールなり目標を無視した基準で業務の目的を設定するなどというのは、どれほど技術的に正しかろうと背任行為だろう。

要するに、こういう混乱が生じるのは技術力の無い人間、端的に言えば ISMS やプライバシーマークを担当するというだけで法務や総務の人間が情報セキュリティのマネジメントをするからである。われわれのように技術力もある人材が担ってこそ、そういうジレンマはマネジメントの中で解決させられるのだ。(企業が組織としてもつ課題をマネジメントとして解決できないなら、何が解決するというのか? IBM の人工知能が「解」とやらを教えてくれるというのか。)

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Twitter Facebook