未分類

risk management

Leave a comment

asahi.com 中国系PC「スパイ心配」 米国務省、機密の扱い禁止

米国務省は、購入した中国系パソコン最大手「レノボ」(本社・ニューヨーク)製パソコンについて、機密を扱わない仕事に限って使うことを決めた。中国が国務省の情報を盗むためにパソコンに何か仕掛けをする可能性があるのでは、との不安が出たためだ。

「中国の情報機関が米国を最重要標的としているのは公然の秘密だ」という前提にたち、「米国で組み立てられても、ソフトなどに手を加えることは可能」と疑念をもっている。オーバーリアクションと受け取るかもしれないが、私は賛成かな。別に対象国が中国だからというわけでなく。「情報に対するリスクマネジメント」はこれぐらい徹底するのが適当だという意味。

"インテリジェンス"の価値を議論する風土があるから、NSAによる通話記録の収集なんて「真逆」の行為もできるのだろうし。別名「盗聴」と言われても。

「情報に対するリスクマネジメント」について常々思う。「ファイルサーバーに情報を置いておく」ことが情報の共有化だと誤認しているうえに、「"共有化"しているだけで運用しようとしているのか(疑問)」という点だ。これには3つの問題が少なくともあると思う。とはいえ、そのうちの一つ、そもそも「情報とは一体ナニ?」から始めようなんて恐れ多くて言えないので残り2つ。

  • ファイルサーバーに情報を置けば、「能動的」にアクセスしてくれるという「前提」
  • 共有情報のリスクマネジメント

問題にしたいのは後者。「共有する情報」へ「誰が」「どこまで」「アクセス」できるかぐらい設定しておいたほうがいいんじゃないって思う。すべてをオープンにするのなら「何を共有化するのか」って議論もあるし、共有化の設定を推し進めていけば、「ローカルに保存できる情報」を明確にしていける。というのも、個人情報流出のニュースを読んで、「どうして、んな情報をローカルに保存するんだ」ってよく脊髄反射する。そして「ひょっとして誰でもアクセスできるのかなぁ」なんて想像してしまう。この手の話は「性善説/性悪説」と照合されがちだけど、何か二項対立的解釈でしっくりこない。理路整然と説明できないけど。

自分の頭の中でもスッキリまとまってないまま書いたのでグチャグチャになってきた。とにかく企業規模の大小問わず情報のリスクマネジメントを大げさすぎるぐらいに考えてみません?って言いたかったわけで…..なんだかなぁ、すみません、おしまい。ああ、やっぱり書きたくない時に無理矢理書くもんじゃないね。

It\'s only fair to share...Tweet about this on TwitterShare on TumblrPin on PinterestShare on Google+Share on Facebook

コメントを残す

メールアドレスが公開されることはありません。