セキュリティマネジメント構築の最初に必要とされるのは、スコープの決定。この範囲が、リスクアセスメント、対策選択を初めとするマネジメントの各手順の範囲、効果を決める。
ところで、このスコープの決定を支える従来の思想は、現在の情報環境から乖離していないか?
「セキュリティ対策はウチの情報資産を対象とするのが原則。例外は契約で。」というスコープ決定の思想は、近代法の「意思あるところに責任あり」という意思責任論を反映している。
意思責任論を、とんでもなくラフに纏めれば、「人が負担や責任を負う根拠は、あなたが自分の意思で負担・責任を負うと決めたことにある。もう、あなたは王様や神様から解放されたのだ。」という考え方だ。
これがスコープ決定の思想にも反映すると、「ウチが責任を負う対象にのみセキュリティ対策の責任を負う」ということになる。
しかし、この思想によるスコープ決定は、今の環境の重要な変化を見逃している。
自身が所有、占有、保守運用するサーバーを、自身が管理しているネットワークで結び、そこに管理できるデータを入れ、流し、出し、その成果を自社で管理するという環境はとうの昔に終わっている。
今の環境は、自分では責任を負えないネットワークに、自分では責任を負えないOSSを積載した部材で構成された端末、コンピューターを結び、その成果を、自分では責任を負えない主体が参加するサプライチェーン全体で享受するというものに変化している。
もはや、私達は、地球規模で、自分が責任を負えない、負わない情報環境、つまり無責任情報環境で参加者が利益を享受するという環境へと変化させてしまっているのだ。
そうだとすると、もはや、意思責任、つまり、自分の意思が及ぶ範囲で責任を負うという思想は、現実に合わない。それで合理的だというのは幻想だと気付くべきなのだ。
技術を不可欠の要素とするセキュリティの領域では、思想もその現れである規格も、技術同様のスピードで陳腐化する。臨界点を超えれば、従来の例外を原則に置き変えて仕組みを作り直すことが必要なのだ。
私達は自分の意思が及ばない情報資産を地球規模で相互利用して利益を作りだしている。
もはや、ウチのシステムだけがスコープの対処だという発送はもう現実に合わない。
サプライチェーン全体に及ぶセキュリティ対策の必要が強調されるのはこうした状況認識の反映だ。
ところが、セキュリティマネジメントの規格、運用は、相変わらず、ウチの対策範囲は、ウチが責任を負っている情報資産だけだという、意思責任を反映した考え方のままだ。
今のマイナンバーの紐付け問題や誤交付問題は、このレガシーな思想によるスコープ決定の限界を端的に示している。
自治体が人手不足で間違えた、登録者本人に手順ミスがあったなどと、近代の責任論をもとに、ウチは関係ない。あちらのことにウチは手をだせない。その情報もない。などという議論はその現れだ。
しかし、新たな思想への転換は始まっている。
首相の、国家レベルで対策を行うという宣言と体制の構築はその現れだ。
これを、責任を負う主体がやっと出てきた、などと捉えるべきではない。そんな捉え方は、問題の解決を積極的にはかろうとする熱意を無視するだけでなく、結局、意思責任論で支配されたスコープ決定の在り方に逆戻りするのを認めるものだ。
マイナンバーカードの課題については、様々な主体が、自身が責任を負っている課題のみならず、関係する者として利害関係者への情報提供の見直し、協力関係の構築など、従来の責任分解点の外への取組を始めている。
あるリーダーは、「責任を負っているからではない。技術者の良心としてベンダー、関係者に協力を求める」と発言していた。
そうなのだ、無責任な主体が良心によって結んで利益を享受するネットワークのもとでは、責任ではない、良心によるスコープ決定の思想が必要なのだ。
「意思あるところに責任あり」から、「利益あるところに責任あり」「信頼された者は責任を負う」という思想によるスコープ決定への転換だ。
スコープ決定がこの思想に貫かれれば、その後の手順も、この転換を背景に、必要な仕組み、つまり、サプライチェーン全体に及ぶリスクコミュニケーションを可能とする情報流通の確保、復旧・是正・根本対策に必要な技術、人、費用の負担と支出の仕組みの構築へと繋がるだろう。
その元での具体策をみんなで考えてゆきたいものだと思う。
ところで、このスコープの決定を支える従来の思想は、現在の情報環境から乖離していないか?
「セキュリティ対策はウチの情報資産を対象とするのが原則。例外は契約で。」というスコープ決定の思想は、近代法の「意思あるところに責任あり」という意思責任論を反映している。
意思責任論を、とんでもなくラフに纏めれば、「人が負担や責任を負う根拠は、あなたが自分の意思で負担・責任を負うと決めたことにある。もう、あなたは王様や神様から解放されたのだ。」という考え方だ。
これがスコープ決定の思想にも反映すると、「ウチが責任を負う対象にのみセキュリティ対策の責任を負う」ということになる。
しかし、この思想によるスコープ決定は、今の環境の重要な変化を見逃している。
自身が所有、占有、保守運用するサーバーを、自身が管理しているネットワークで結び、そこに管理できるデータを入れ、流し、出し、その成果を自社で管理するという環境はとうの昔に終わっている。
今の環境は、自分では責任を負えないネットワークに、自分では責任を負えないOSSを積載した部材で構成された端末、コンピューターを結び、その成果を、自分では責任を負えない主体が参加するサプライチェーン全体で享受するというものに変化している。
もはや、私達は、地球規模で、自分が責任を負えない、負わない情報環境、つまり無責任情報環境で参加者が利益を享受するという環境へと変化させてしまっているのだ。
そうだとすると、もはや、意思責任、つまり、自分の意思が及ぶ範囲で責任を負うという思想は、現実に合わない。それで合理的だというのは幻想だと気付くべきなのだ。
技術を不可欠の要素とするセキュリティの領域では、思想もその現れである規格も、技術同様のスピードで陳腐化する。臨界点を超えれば、従来の例外を原則に置き変えて仕組みを作り直すことが必要なのだ。
私達は自分の意思が及ばない情報資産を地球規模で相互利用して利益を作りだしている。
もはや、ウチのシステムだけがスコープの対処だという発送はもう現実に合わない。
サプライチェーン全体に及ぶセキュリティ対策の必要が強調されるのはこうした状況認識の反映だ。
ところが、セキュリティマネジメントの規格、運用は、相変わらず、ウチの対策範囲は、ウチが責任を負っている情報資産だけだという、意思責任を反映した考え方のままだ。
今のマイナンバーの紐付け問題や誤交付問題は、このレガシーな思想によるスコープ決定の限界を端的に示している。
自治体が人手不足で間違えた、登録者本人に手順ミスがあったなどと、近代の責任論をもとに、ウチは関係ない。あちらのことにウチは手をだせない。その情報もない。などという議論はその現れだ。
しかし、新たな思想への転換は始まっている。
首相の、国家レベルで対策を行うという宣言と体制の構築はその現れだ。
これを、責任を負う主体がやっと出てきた、などと捉えるべきではない。そんな捉え方は、問題の解決を積極的にはかろうとする熱意を無視するだけでなく、結局、意思責任論で支配されたスコープ決定の在り方に逆戻りするのを認めるものだ。
マイナンバーカードの課題については、様々な主体が、自身が責任を負っている課題のみならず、関係する者として利害関係者への情報提供の見直し、協力関係の構築など、従来の責任分解点の外への取組を始めている。
あるリーダーは、「責任を負っているからではない。技術者の良心としてベンダー、関係者に協力を求める」と発言していた。
そうなのだ、無責任な主体が良心によって結んで利益を享受するネットワークのもとでは、責任ではない、良心によるスコープ決定の思想が必要なのだ。
「意思あるところに責任あり」から、「利益あるところに責任あり」「信頼された者は責任を負う」という思想によるスコープ決定への転換だ。
スコープ決定がこの思想に貫かれれば、その後の手順も、この転換を背景に、必要な仕組み、つまり、サプライチェーン全体に及ぶリスクコミュニケーションを可能とする情報流通の確保、復旧・是正・根本対策に必要な技術、人、費用の負担と支出の仕組みの構築へと繋がるだろう。
その元での具体策をみんなで考えてゆきたいものだと思う。