メッセージ。 - セキュリティについて
# セキュリティについて
セキュリティって難しいなぁと思うのだけど、一応最近考えていることをちょっとまとめてみます。
ある人の日記で、「バカでも安全に使えるコンピュータ」という言葉が使われていた。また別の人のところで、「コンピュータが自動的に危険を察知して対策を施す」という言葉が使われていた。これはとてもよいヒントだった。
まず、「コンピュータが自動的に危険を察知して対策を施す」ことは可能か?という問題なんだけどね。ぼくは無理だと思うんだよね。コンピュータは、「危険」というものを理解できないはずだから。たぶん、「幸せ」を理解できないのと同じぐらい、コンピュータは危険を理解できない。「幸せ」や「危険」は定義できないので、そのような処理をするコンピュータも作れない。
たぶんコンピュータに限らず、すべての道具がそうなんだ。人間を「自動的に」幸せにしたり、安全にする道具は存在しない。……たしかにね、ときには自動車が、あるいは電話が、毛布が、包丁が、火が、人間を幸せにしたり安全にすることもある。だけどそれは、ときに人間を不幸にしたり危険をもたらしたりもする。
ねぇ。安全な包丁は、作れると思う? バカでも安全に使えて、どんな小さな子供でも安全に使えて、強盗に襲われたときにも安全に使えて、怪我をすることなく安全に料理ができる包丁、そんなものは作れるだろうか。残念ながら、それは作れない。安全なコンピュータも作れない。……どんな道具も、人間が使い方を間違えるのを防げない。
結局、道具は、使う人の目的を理解できないんだな。そして、「目的」が分からなければ、「安全」も提供しようがないよね? 要するに、「安全」というものは、「目的」なしに論じることができないんだとぼくは思う。同じように、セキュリティも「目的」なしに扱うことはできない。でも、現代の多くの人が、「目的」をすっとばしてセキュリティを扱ってしまっている。
セキュリティに関する議論は、収束しない。でもなぜ? ぼくが思うに、セキュリティの議論は、ビジネスプロジェクトが失敗するのに似た過程をたどる。ドラッカーが言うように、ビジネスプロジェクトを成功させたければ、まず「どうなったら成功か」を定義しなければいけない。でもほとんどの人やプロジェクトがそれをしないで走りだす。セキュリティも同じ。
プロジェクトを成功させたければ、まず「成功」を定義しなければいけない。それと同じように、セキュリティが欲しいのなら、「安全とは何か」を、そして安全と表裏をなす「やりたいこと」を定義しなければいけない。
人には、それぞれやりたいことがある。エベレストに登りたいという人もいれば、アイドル歌手になりたいという人もいる。そういう人たちに、「危険だからやめておけ」って言うことに意味はない。彼らには、リスクをおかしてもやりたいことがある。むしろ彼らの「やりたいこと」を矯正するほうが、よっぽど危険だとぼくは思う。
エベレストほど危険なヤマじゃなくても、「やりたいこと」、「ぼくらの目標」というのは人間の数だけ存在する。十把一絡げには論じられない。本当にセキュリティを提供したいのなら、まずはちゃんと相手の「やりたいこと」を知る必要があるんじゃないのかな。相手の立場からスタートする必要があるんじゃないのかな。それは本当に、難しいことだとは思うけど。
ある人の日記で、「バカでも安全に使えるコンピュータ」という言葉が使われていた。また別の人のところで、「コンピュータが自動的に危険を察知して対策を施す」という言葉が使われていた。これはとてもよいヒントだった。
まず、「コンピュータが自動的に危険を察知して対策を施す」ことは可能か?という問題なんだけどね。ぼくは無理だと思うんだよね。コンピュータは、「危険」というものを理解できないはずだから。たぶん、「幸せ」を理解できないのと同じぐらい、コンピュータは危険を理解できない。「幸せ」や「危険」は定義できないので、そのような処理をするコンピュータも作れない。
たぶんコンピュータに限らず、すべての道具がそうなんだ。人間を「自動的に」幸せにしたり、安全にする道具は存在しない。……たしかにね、ときには自動車が、あるいは電話が、毛布が、包丁が、火が、人間を幸せにしたり安全にすることもある。だけどそれは、ときに人間を不幸にしたり危険をもたらしたりもする。
ねぇ。安全な包丁は、作れると思う? バカでも安全に使えて、どんな小さな子供でも安全に使えて、強盗に襲われたときにも安全に使えて、怪我をすることなく安全に料理ができる包丁、そんなものは作れるだろうか。残念ながら、それは作れない。安全なコンピュータも作れない。……どんな道具も、人間が使い方を間違えるのを防げない。
結局、道具は、使う人の目的を理解できないんだな。そして、「目的」が分からなければ、「安全」も提供しようがないよね? 要するに、「安全」というものは、「目的」なしに論じることができないんだとぼくは思う。同じように、セキュリティも「目的」なしに扱うことはできない。でも、現代の多くの人が、「目的」をすっとばしてセキュリティを扱ってしまっている。
セキュリティに関する議論は、収束しない。でもなぜ? ぼくが思うに、セキュリティの議論は、ビジネスプロジェクトが失敗するのに似た過程をたどる。ドラッカーが言うように、ビジネスプロジェクトを成功させたければ、まず「どうなったら成功か」を定義しなければいけない。でもほとんどの人やプロジェクトがそれをしないで走りだす。セキュリティも同じ。
プロジェクトを成功させたければ、まず「成功」を定義しなければいけない。それと同じように、セキュリティが欲しいのなら、「安全とは何か」を、そして安全と表裏をなす「やりたいこと」を定義しなければいけない。
人には、それぞれやりたいことがある。エベレストに登りたいという人もいれば、アイドル歌手になりたいという人もいる。そういう人たちに、「危険だからやめておけ」って言うことに意味はない。彼らには、リスクをおかしてもやりたいことがある。むしろ彼らの「やりたいこと」を矯正するほうが、よっぽど危険だとぼくは思う。
エベレストほど危険なヤマじゃなくても、「やりたいこと」、「ぼくらの目標」というのは人間の数だけ存在する。十把一絡げには論じられない。本当にセキュリティを提供したいのなら、まずはちゃんと相手の「やりたいこと」を知る必要があるんじゃないのかな。相手の立場からスタートする必要があるんじゃないのかな。それは本当に、難しいことだとは思うけど。
Comment
Trackback