「ソフトウェア環境まで含めてその人の能力」的なセキュリティ

真髄を語る 「会社のPC」は無くなる

世界最大のIT(情報技術)リサーチ会社、 米ガートナーのデビッド・スミス フェローは、「従業員所有PC」 というアプローチが企業にとって有効との見方を示す。従業員所有PCとは、 企業が従業員に一定金額を支給し、従業員が自分で選んだパソコンを購入し、 保有するやり方。「自分のPC」なので、会社の仕事だけではなく、 個人利用も許容される。企業は「会社のPC」の管理から開放され、 従業員は最先端かつ低価格の消費者向けパソコンを利用できる。米国では、 一部の先進企業がこのアプローチに取り組み始めているという。

あー 考えてみると 実際の所 これって 結構 いい考えかも...

PC(ソフトウェア)環境 まで 含めて その人の能力 ってことだろうと思ってみたりもする...

「ソフトウェア環境まで含めてその人の能力」は、いいまとめだと思う。私はこの話を聞いた時、最初に「それってセキュリティ的にどうよ?」と思ったけど、これ読んで、セキュリティの向上も「ソフトウェア環境まで含めてその人の能力」に依存しているなあと気づいた。それで、これのセキュリティ版を考えてみた。

セキュリティ意識の低い人間を雇ってから、特定のソフトをインストールさせたりさせなかったりチェックしたりするより、最初からセキュリティ意識の高い人間を雇って、(必要な情報を提供した上で)本人にまかせた方が、安心確実かもしれない。

「最初からセキュリティ意識の高い人間を雇う」ことが可能かどうかが問題だけど、これはグーグルのGreat People Can Manage Themselves(参照している梅田氏の記事はこちら)と同じで、セキュリティ意識が高くノウハウもある人が、自ら採用に時間をかければできるような気がする。梅田氏の記事によれば、グーグル社員が採用に割く時間は平均一人年間87時間。つまり、全ての社員が1時間の採用面接を月あたり7回以上行なっている計算になる。

大変なコストだが、グーグルはそれがペイすることを証明したし、現在、セキュリティの為にかけられているコストと、事故が起きた時の被害を考えれば安いものだ。

「最初からセキュリティ意識の高い人間を雇う」ことが可能ならば、本人にまかせた方がずっと安全で、しかも生産性は飛躍的に向上する。

人の能力や意識を測定、管理するのは不確実性が伴なうことはさけられないが、ウィルススキャナーやファイアーウォールによってパソコンをリスクから防護することにも、今や同じくらいの不確実性がある。パソコンは道具だから、人間本体と切り離して考えることができるというのが常識だったのだが、経験的にはその常識は成り立ってないと思う。パソコンの管理を放棄して、そこで浮いたコストを給料と採用と人の管理に使う企業がこれから増える可能性はあると思う。

つまり、「うちのパソコンがウィルスに感染しないことを保証します」と言う銀行と、「うちの社員には、自分のパソコンをウィルスに感染させるような馬鹿はいないことを保証します」と言う銀行の、どちらに金を預けるかという問題。

どちらも危うい究極の選択だが、両者の「保証」の仕組みが開示されたら、リスクを相対的に比較して私は後者を取るかもしれない。どちらにせよ、自分がそこに入社できないことは、ほとんど確実なんだけどね。