わさっきhb

大学(教育研究)とか ,親馬鹿とか,和歌山とか,とか,とか.

属人性

本日の授業では,計算機上のセキュリティでも,理論的なセキュリティでもなく,「組織のセキュリティ」に焦点を当てます.代表的なのは,会社ですが,大学だって一つの組織ですし,会社の中の部署だとか,大学のサークルというのも,一つ一つが組織となります.そこで情報資産を…コンピュータの中に格納しておくかどうかはさておき…安全に管理・運用するためには,どのような点に注意しなければならないかを,セキュリティポリシーISMS不正アクセス防止法などの法律,そして個人情報保護法に分けて解説していきます.
組織のセキュリティを考える際の大前提があります.セキュリティ管理を,組織の中に一人に負わせてはならないというものです*1.一人だけがその組織のセキュリティを知っていて,他の人は,どんなセキュリティ対策をとっているかが分かっていない,という状態は,よくないのです.
セキュリティに限りませんが,組織の維持に不可欠な業務について,その組織の一人だけが関わっているような状態を,「属人性(ぞくじんせい)」があるだとか,「属人的」だとかいいます.
セキュリティにおいて属人性があると,まずい事態が,二つ考えられます.一つは,管理者さんが何らかの事情で組織を離れるときに,組織のセキュリティはどうなるかということです.「組織を離れる」というのは,会社を辞めるだけではありません.交通事故に遭うだとか,あまり考えたくはないのですが急死するだとか逮捕されるだとかいった事態もあり得ます.そうなってからセキュリティ管理をどないしましょと悩むのでは,後の祭りというやつです.
もう一つのまずい事態はですね,管理者さんは健在で,組織も特に問題なく動いているように見えるのですが,実はその管理者さんが買収されているだとか脅迫されているだとかで,組織の持つ情報資産が外部に筒抜けになっているという可能性です.
これらのリスクを減らすには,重要な業務を知っているのは一人だけということがないように運用すべきということです.これを「属人性の排除」といいます.
属人性,そしてその排除については,セキュリティを含めたシステム管理のほかに,複数人でソフトウェアを開発するときにも登場する概念です.とりあえずきちんと動くコードなんだけど*2,そのプログラマが離脱したときに,コードを読んで何をすべきか,どこにバグが潜んでいそうか分からないコードではいけないですし,プログラミングの共同作業で買収や脅迫はあまりないとしても,一人で抱え込んでしまって,何%できただとか今週はどこの部分のコードを書いているだとか,報告はいいんだけど,プログラム完成に関してその人の作業が何ら貢献していないことに,本人以外だれも気づいていない,ということがあってはいけませんね.

*1:組織の「長」としての責任は,「長」一人が負うことになりますが,ここではこれは考えないこととします.

*2:良いコードなら,コメントなしでも読める,とよく言われますが,これもここでは考えないことにします.