先日,ウォール・ストリートにある,ある大手金融機関の本社を訪ねた。仮に「FinCorp」と呼ぶことにしよう。FinCorp本社ビルのセキュリティは実に仰々しいもので,社員と訪問者の区別なく,入館者全員のかばんをX線検査にかけていた。
私は馬鹿げていると感じたが,とりあえず協力した。そこには,X線検査装置のモニターを監視する一人の警備員と,X線検査の順番を待っている入館者の列があった。入館者に対する検査は全く行われていない。さらに悪いことに,入館者を監視する警備員もいない。このため,ほかの人と一緒に並びながらも,かばんをX線検査装置にかけずに通過した私に気付く者はいなかった。
とても愉快な出来事だったので,このことをFinCorpのセキュリティ担当副社長に話して思う存分楽しんだ。彼の説明によると,X線検査装置を導入するとともに,犬を使って週2回ビル周辺の検査をすれば,保険会社は保険料を500万ドル割り引きしてくれるというのだ。
このビルのセキュリティ対策は無駄遣いだと思う。FinCorpにとっては,セキュリティ対策ではなく収益源のひとつなのだ。
この話のポイントは,書籍「Beyond Fear」やその他多くのところで書いてきたことそのものである。それは,「セキュリティに関する事柄は,セキュリティとは無関係な理由で決められることが多い」ということだ。
「人々が過度に心配するようなセキュリティ・リスク」「脅威の対抗策にならないセキュリティ対策」「全く意味のないセキュリティ上の意思決定」に出くわしたら,それらの背景をより深く理解する必要がある。例えば,「この決定を下した人物はどのような課題を抱えているのか?」「この決定を下した理由として,セキュリティとは無関係な事柄が考えられないか?」――といったことを考えるのだ。背景を正しく理解すれば,セキュリティには無関係には見える“セキュリティに関する意思決定”にも,何らかの意味があることが分かるだろう。
この話題の詳細については,「Beyond Fear」を参照のこと:
<http://www.schneier.com/bf.html>
Copyright (c) 2004 by Bruce Schneier.
◆オリジナル記事「Security Notes from All Over: X-Ray Machines and Building Security」
◆「CRYPTO-GRAM July 15, 2004」
◆「CRYPTO-GRAM July 15, 2004」日本語訳ページ
◆「CRYPTO-GRAM」日本語訳のバックナンバー・ページ
◆この記事は,Bruce Schneier氏の許可を得て,同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は,「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。
