●誤:性善説を前提にするのをやめて、性悪説を前提にする
●正:性善説を前提として、性悪説も想定する
「性善説を前提にするな」というようなことを、有識者と呼ばれる人達も言ったり書いたりしているが、彼らの全文をちゃんと読んでみると、その思いを正しい日本語で表現できていないように思う。
正しくは、佐藤が以前から使っている「性善説を前提に性悪説を想定せよ」と同じのようだ。つまり、「前提」と「想定」を使い分けていない。
「前提」と「想定」を使い分けない例は、有識者ばかりではなく政府にもある。
eJapan戦略では、「事故前提社会」と言っているが、それを言うなら、「事故想定社会」の方がより正確だ。
事故を前提に社会制度を作られたらたまらない。
この場合も、「想定」のことを強調する意味で、「前提」と使っているのだろう。
これら政府や有識者の思いは性悪説「想定」なのであって、単に「前提」という用語を誤用しているだけと思われる。
しかし、それらの発言に対する影響度の大きさには気をつけた方がよい。
自分たちの発言力は、自分が思うほど小さくないということだ。
彼らの思いとは異なり、その言葉を真に受けてしまうことで、「性悪説前提」論者が出てきてしまっている。
たとえば、「当社は性悪説で考えます」と経営者が言うことは、「社長のぼくのことも信じないでね。チャンスさえあれば、会社の資産を悪用するよ」と宣言しているわけだ。暗黙には、「予めそう言ったのだから、ぼくが不正しても文句言わないでよね」という完全無責任宣言だということがわかっていないのだろう。
●誤:性善説対策ではなく、性悪説対策を実施する
●正:性善説対策を実施した上で、性悪説対策を追加実施する
世の中には、もうひとつ、不十分な日本語表現が、誤解を生じている。
「組織における情報セキュリティは、性善説から性悪説へ」というものだ。
この表現は暗黙に、「性善説から性悪説へ切り替えよ」という述語を含んでいるが、それはまちがえだ。
これも日本語を誤用して広まっているものだ。
このたぐいのデマを吹聴する人のほとんどが米国事情を引き合いに出すが大嘘だ。
性善説から性悪説に移行した企業なんて存在しない。
性善説対策をある程度達成したら、次に、性悪説対策も追加するのであって、切り替えるものではない。
性善説対策もできていない組織が、性悪説対策なんてできるはずがない。
ルールは性善説の者にしか守られないのだから、性善説を前提にしなければならないのは自明だ。
性善説を否定することは、ルール設置を否定することに他ならない。
性善説の人に、性悪な人と戦ってもらわなければ、体制は成り立たない。
日本で見かける「性善説対策=信頼するから組織は何も定めないし、何もしない」はまちがえだ。
「性善説対策=善悪の違いについてをその理由とともに明確に定め、それを周知・徹底すること」と考えなければならない。
本来はそれを定める役目が、情報セキュリティポリシーだったのに、教条主義に走ったため、「その理由」が欠落して、例外事象への適応ができなくなり、結局、例外ではない明確な遵守事項までもが守られなくなった可能性がある。
性善説対策が相当程度に完遂できているかを、確認することが今とても重要になっているのだと思う。
それができた組織が、性悪説対策を実施すれば、効果があがるはずだ。
そうでない組織は、いつまでも、性善・性悪とも共倒れして、同じ事故を繰り返すことになるだろう。
ちなみに、性善説対策の達成が、そもそも、情報セキュリティガバナンスだ。
したがって、情報セキュリティガバナンスを論じるときに、性善説対策をあまり取り扱わずに、性悪説対策のことばかりを偏重するのはよくないことだ。
概ねは、性善説:性悪説=8:2くらいの比率で考えるべきだろう。
性悪説対策は、情報セキュリティガバナンスの下に実施される情報セキュリティ対策の中で、集中的に取り扱えばよい。
おまけ:
性弱説という人当たりのよい言葉選びをしている人がいる。
ただ、性弱説というのは、性善説と性悪説の中間をとらえたような考え方になり、現象を説明するためにはよいが、それに基づいた解決策を導き出すことには、不向きだと思う。
性弱説として現象を説明はできるけれど、最初から性悪の人がいないとも言えないし、常に性善の人を否定するのもよいこととは思えない。そのためだと思うが、性弱説を唱える人が示す解決策は、何か抽象的な精神論になるか、あるいは、明らかに飛躍したものになることが多いように感じている。
性善と性悪の間で、人は性弱に揺れながら、どちらかにたどり着くのだということにした上で、その後の、性善説対策と、性悪説対策のどちらを人に適用するかを決める。という図式の中にならば、性弱説を持ち込んでみるのは説明を容易にすることに役立つに違いなし。
しかし、性弱説対策という切り口には、あまり同意できていない。
参考:
・まるちゃんの情報セキュリティ気まぐれ日記
・日弁連コンピュータ委員会シンポジウム'04
佐藤の講演から:
・I-4 Regional Meeting (2002/12/5)
・ネットワークセキュリティワークショップin越後湯沢 (2003/10/2)
・第21回 Korea Techセミナー (2005/7/7)
最近のコメント