前回のエントリーで書いたセキュリティの話を続けたい。
企業でも学術機関でも、スタッフが自分で買ってきた無線LANのアクセスポイントを設置し、勝手に無線LAN環境を作ってしまっているというケースは多い。ネットワーク管理者が把握できない無線ネットワークが作られてしまうと、不正アクセスを受けたりコンピュータウイルスの感染を許したり、あるいは情報漏洩につながりかねない。だから日本の組織の多くは、無線LANアクセスポイントの勝手な設置は禁止しているというケースが大半だ。
だが前回の冒頭に登場したもらったIT企業の幹部は、取材の折りにこんな話をしていた。
「わたしの知っているアメリカの企業は、新しい無線ネットワークが勝手に作られた場合、すぐにその場所が特定できるような仕掛けを施しておいた。そして無線LANに誰かが接続してきたら、すぐにその会社のセキュリティポリシーが自動的にダウンロードされるような仕組みを作っておいた。『どうぞご自由に無線LANは使ってください。でもセキュリティポリシーは守ってね』というわけだ。ぼくはこれが、本当のセキュリティの考え方だと思う。日本のように何でもかんでも禁止というのは間違ってるんじゃないですか」
このアメリカ企業の手法が正しいかどうかは別にしても、日本企業が相変わらず「リスクゼロ」を求めてしまうケースが多いのは事実だろう。
最近はようやくセキュリティマネジメントの考え方が普及してきたとはいうものの、経営者の中にはいまだにセキュリティに対し、「リスクゼロ」を求める人が少なくないのである。「絶対に誰にも侵入されず、情報も漏洩しないシステムを作れ!」とIT部門に要求してしまうのだ。しかし現実的にはそんなことは不可能だし、安全のパーセンテージをヒトケタ上げるだけでも莫大なコストがかかってしまう。セキュリティにも当然ROI(投資対効果)の考え方が必要で、本来ならリスクとベネフィットのバランスをきちんと保たなければならない。
日本の組織のこうした考え方は、社会のさまざまな局面に表出している。
たとえば環境問題。
2003年春、「ダイオキシン―神話の終焉(おわり)」(日本評論社)という書籍が話題になったことがあった。内容をかいつまんで言えば、「サリンの2倍、青酸カリの1000倍の猛毒」と喧伝されてきたダイオキシンの危険性について「根も葉もない妄想であり、ダイオキシン対策に巨費を投じるのはカネの無駄」と切って捨てている刺激的な内容である。東大生産技術研の渡辺正教授らが著した。
ダイオキシンといえば焼却炉から排出されるものだというのが定説だとされ、このために2000年にはダイオキシン特別措置法が施行され、焼却炉を高価なハイテク設備のものへと置き換えることが求められてきた。その総予算は莫大な金額に上り、全国で約40兆円に達しているという試算もある。
だが同書は、ダイオキシンの深刻な被害は過去に報告されていないうえ、焼却炉由来のダイオキシンは微々たる量で、ハイテク焼却炉への莫大な公費の支出はひどい無駄だったと指摘したのである。この本が出た直後、ダイオキシン問題の報道で知られたある全国紙記者は、「急性毒性の被害はこれまでの報告では生じていない。しかし、だからといって『なんでもない物質』といえるのだろうか」「被害が出てからでは遅い」と訴えた。また別の学者も「証拠がなければ何もできないという考え方は間違いで、予防原則が重要だ」と批判した。ダイオキシン反対市民運動側のリアクションは、おおむねこうした論調だったのである。
渡辺教授らのスタンスは「環境リスクはどんなものもゼロにするのは不可能であり、費用対効果とのバランスを考えていかなければいけない」というもので、ダイオキシン反対運動の「被害が判明していなくてもリスクをゼロにせよ」という意見とは真っ向から対立したのである。
果たしてハイテク焼却炉が40兆円に見合うベネフィットがあったのかどうかという議論はここでは置いておくとしても、マネジメントに基づいた実際的な議論は、日本社会では相変わらず乏しい。
企業でも学術機関でも、スタッフが自分で買ってきた無線LANのアクセスポイントを設置し、勝手に無線LAN環境を作ってしまっているというケースは多い。ネットワーク管理者が把握できない無線ネットワークが作られてしまうと、不正アクセスを受けたりコンピュータウイルスの感染を許したり、あるいは情報漏洩につながりかねない。だから日本の組織の多くは、無線LANアクセスポイントの勝手な設置は禁止しているというケースが大半だ。
だが前回の冒頭に登場したもらったIT企業の幹部は、取材の折りにこんな話をしていた。
「わたしの知っているアメリカの企業は、新しい無線ネットワークが勝手に作られた場合、すぐにその場所が特定できるような仕掛けを施しておいた。そして無線LANに誰かが接続してきたら、すぐにその会社のセキュリティポリシーが自動的にダウンロードされるような仕組みを作っておいた。『どうぞご自由に無線LANは使ってください。でもセキュリティポリシーは守ってね』というわけだ。ぼくはこれが、本当のセキュリティの考え方だと思う。日本のように何でもかんでも禁止というのは間違ってるんじゃないですか」
このアメリカ企業の手法が正しいかどうかは別にしても、日本企業が相変わらず「リスクゼロ」を求めてしまうケースが多いのは事実だろう。
最近はようやくセキュリティマネジメントの考え方が普及してきたとはいうものの、経営者の中にはいまだにセキュリティに対し、「リスクゼロ」を求める人が少なくないのである。「絶対に誰にも侵入されず、情報も漏洩しないシステムを作れ!」とIT部門に要求してしまうのだ。しかし現実的にはそんなことは不可能だし、安全のパーセンテージをヒトケタ上げるだけでも莫大なコストがかかってしまう。セキュリティにも当然ROI(投資対効果)の考え方が必要で、本来ならリスクとベネフィットのバランスをきちんと保たなければならない。
日本の組織のこうした考え方は、社会のさまざまな局面に表出している。
たとえば環境問題。
2003年春、「ダイオキシン―神話の終焉(おわり)」(日本評論社)という書籍が話題になったことがあった。内容をかいつまんで言えば、「サリンの2倍、青酸カリの1000倍の猛毒」と喧伝されてきたダイオキシンの危険性について「根も葉もない妄想であり、ダイオキシン対策に巨費を投じるのはカネの無駄」と切って捨てている刺激的な内容である。東大生産技術研の渡辺正教授らが著した。
ダイオキシンといえば焼却炉から排出されるものだというのが定説だとされ、このために2000年にはダイオキシン特別措置法が施行され、焼却炉を高価なハイテク設備のものへと置き換えることが求められてきた。その総予算は莫大な金額に上り、全国で約40兆円に達しているという試算もある。
だが同書は、ダイオキシンの深刻な被害は過去に報告されていないうえ、焼却炉由来のダイオキシンは微々たる量で、ハイテク焼却炉への莫大な公費の支出はひどい無駄だったと指摘したのである。この本が出た直後、ダイオキシン問題の報道で知られたある全国紙記者は、「急性毒性の被害はこれまでの報告では生じていない。しかし、だからといって『なんでもない物質』といえるのだろうか」「被害が出てからでは遅い」と訴えた。また別の学者も「証拠がなければ何もできないという考え方は間違いで、予防原則が重要だ」と批判した。ダイオキシン反対市民運動側のリアクションは、おおむねこうした論調だったのである。
渡辺教授らのスタンスは「環境リスクはどんなものもゼロにするのは不可能であり、費用対効果とのバランスを考えていかなければいけない」というもので、ダイオキシン反対運動の「被害が判明していなくてもリスクをゼロにせよ」という意見とは真っ向から対立したのである。
果たしてハイテク焼却炉が40兆円に見合うベネフィットがあったのかどうかという議論はここでは置いておくとしても、マネジメントに基づいた実際的な議論は、日本社会では相変わらず乏しい。