セキュリティと効率化のアウフヘーベンを求めて

gohandesuyo

最近、私の所属する企業がISMS(情報セキュリティマネジメントシステム)と呼ばれる資格取得を目指した活動をしています。
既に審査を終えて近い将来に資格が取得できる見込み。

企業がISMSを取得していると何が良いかというと、その企業が情報セキュリティとしっかりと向き合い、セキュリティを確保するための運用に取り組んでいることを対外的に示せるようになる。
つまりは、企業が営業活動をするときにその企業がちゃんとした企業であることを対外的にアピールできることになる。

特に、自治体などの公的機関を相手にビジネスをする場合、資格という形で安心感を与えることはかなり大事なのでしょう。
企業が大きく成長しようとしている段階でそのような資格取得を目指すことは自然な発想です。

ただ、情報資産を守るためにセキュリティを確保ことと、システム開発において効率を上げていくことは基本的に相性が悪い。
セキュリティを確保しようとすると、たいていの場合、制約・ルールが増えることになる。

例えば以下のような制約が考えらえる。

  • PCを持ち出すと盗難のリスクがあるので、PCの持ち出しは禁止とする

  • ノートPCの場合は物理的に持ち出すことが容易なため、机にワイヤーをつけて取り外せないようにする

  • 機密情報が洩れる可能性を限りなく少なくするためにスマホをはじめとする電子機器は全てロッカーに預ける

  • 業務で使用するソフトウェアは許可されたもの以外はインストール不可とする

  • 新しくソフトウェアをインストールする際には管理者権限のユーザー名とパスワードを必要とし、権限を持つ人に入力を依頼する

  • コンピュータウィルスの感染を防ぐためにインターネットへの接続を禁止・もしくは制限する

極端な例もとあると思われるかもしれませんが、実際にいくつかの企業ではそのような事例もありました。私の所属企業が上記を全て採用しているわけではありませんが、一部実施しているものがあります。
これらの制約は情報漏洩のリスクを減らすという目的を考えれば特に不自然なものではないでしょう。しかし、このような制約の中で開発効率を上げられるかと言えば、かなり疑問が残ります。

PCを持ち出して自宅からリモートで作業する方が効率よく仕事ができる人もいることでしょう。
必要に応じて便利なツールを好きに導入できた方が開発効率アップにつながるし、最新技術に触れることも可能となるでしょう。
インターネットに接続できなかったり、サイトを制限されることで、欲しい情報を手に入れるまでに多くの時間を使ってしまうこともあるでしょう。

セキュリティを強化しようとすると、一般的には何かしらのルールや制約が増えます。
ルールや制約が増えると開発効率にはマイナスの影響が出やすい。
かといって、制約やルールを何もない状態にするとその分情報漏洩やセキュリティ上のリスクは増え、インシデントが発生したときに企業の信頼低下につながる。

そう考えると、セキュリティと効率化は基本的にはトレードオフの関係で、どちらかを犠牲にすることでどちらかを選ぶことが求められます。

アウフヘーベンとは

アウフヘーベンという言葉をご存じでしょうか。
ChatGPTに意味を訪ねると以下のように返ってきました。

「アウフヘーベン」は、ドイツ語で、「上げる」という意味を持ちます。この用語は、哲学者ヘーゲルが提唱した「アウフヘーベンの三段階」という概念によく使用されます。この概念は、ある段階や状態を超越し、新たな段階や状態を生み出す過程を指します。つまり、「アウフヘーベン」は、あるものを否定することなく、それを発展させることでより高次の段階に到達することを意味します。哲学的な文脈では、この概念はしばしば、歴史的進歩や人間の精神的な発展に関する考察に用いられます。

ChatGPTより

抽象的でいまいち理解しにくい。
もう少しかみ砕くと、AとBという対立する2つの事柄について、どちらか一方を否定するのではなく、2つを包括した新たなCという概念を登場させて、AとBを両立する、あるいはいいとこどりしてしまおう、という考え方。

例えば、「貯蓄を増やしたい」という要望と「贅沢したい」という要望があったとします。貯金を増やすための方法として簡単に思いつくのは節約をして出費を減らすことでしょう。一方で贅沢する方法として簡単に思いつくのは、食事や遊びにお金をかけて飲食や娯楽の質を上げることでしょう。
一方ではお金を使わないようにして要望を叶えようとし、方やもう一方はお金を多く使って解決を図ろうとする。一見するとこれらはトレードオフで2つを同時に満たすのは難しい要望です。

このようなトレードオフの関係にある事柄に対し、どちらか一方を否定して2者択一とするのではなく、貯金を増やしながらも贅沢を増やす方法、つまり、2つ同時に解決するような新たな概念・発想を生み出すことがアウフヘーベンです。例えば

  • 転職をして給料を上げる

  • 副業をして収入を上げる

  • リモートワーク可能な仕事に転職し、条件を満たす環境に引っ越す

などが考えられます。他にも色んな考え方があるでしょう。
明確な正解があるわけではありませんが、新たな発想を考えていくことが大事です。

セキュリティと効率化

話しを戻します。
セキュリティを確保することと作業を効率化することはトレードオフの関係にあります。しかし、どちらか一方を犠牲にするのは許容しがたいです。
個人情報や企業が持つ情報資産を守ることは大事です。
ですが、エンジニアという仕事をしている身として、企業が資格取得を目指すという理由で非効率な作業が多く存在するのは許容しがたいです。

作業効率を犠牲にすることなく、むしろ快適に作業ができる環境を作りながらも、その中でセキュリティの安全が確率されるような仕組みを考えて運用していくことが大事ではないかと思います。

具体的にどういう運用をすればいいのかは、正直なところ分かりません。
そう簡単にできることではないのでしょう。
簡単に実現できるならばどのIT企業でも実践しているだろうし、簡単に思いつかないからこそ、組織全体で最適案を考えながら常に模索していくことが大事だと思います。

サポートいただくとめちゃくちゃ喜びます。素敵なコンテンツを発信できるように使わせていただきます。