ある企業様での「情報化推進PJ会議」に参加しました。
その際に、セキュリティのルール検討から、「性悪説」「性善説」話になりました。
よく、セキュリティのルール検討は「人は性悪説」にもとづいて考えると言われることが多いです。
たしかに、セキュリティのルールには「人がやってしまう悪いことやらせない」視点のルールも多く、性悪説に基いた構築するのが妥当なのかもしれません。
ただ、どんなにセキュリティのルールをキッチリ定めても、抜け道を探すイタチごっこになる可能性も考えられます。
また、キッチリ定めすぎると、その反動として「シャドーIT、シャドーアカウント」といった組織が把握できないIT活用、アカウントがされてしまうこともあります。
ちなみに「性悪説」を辞書で調べると「人間の本性は悪であり、たゆみない努力・修養によって善の状態に達することができるとする説。荀子(じゅんし)が唱えた」とあります。
一方の性善説は「人間にはもともと善の端緒がそなわっており、それを発展させれば徳性にまで達することができるとする説。孟子が唱えた」とあります。
この2つはどちらが正しいと言うわけではなく「考え方」「思想」です。
よく言われる「性悪説」は「人はもともと悪」、「性善説」は「人はもともと善」の単純な話ではなく、大切なのは、スタートは悪、善それぞれあるけど、どちらも努力によってよりよく変わっていけるという意味ですね。
また「性善説」でもなく「性悪説」でもなく「性弱説」という言葉があります。
「性弱説」とは、人は元来弱いものであるということです。
「性弱説」は基本的には「性善説」に立っているのですが、ただ人間は誤解やミスをしがちなだけ…ということです。
時には、心の弱さに負けてしまい「悪意」を実行してしまう場合もあるのだと思います。
自分も基本的に「性善説」にたってモノを考える傾向が有るので、「性弱説」は自分を納得させられる考え方です。
「性悪説」にたってセキュリティのルール検討を行った場合、悪意とのイタチゴッコになる可能性が有ります。
どんなに堅牢にルール化を行ったとしても、それを抜く悪意をもって不正行為をしたならばそれは防げないし、反発を招くこともあります。
セキュリティのルールを「性弱説」にたって考れ説明できれば、少しは柔軟で納得性の高いルールができるのかもしれませんね。
ときどき無性に茹でたブロッコリーにマヨネーズを付けて食べたくなります。
茹ですぎ注意ですね(;^_^A。
