【AI文芸】セキュリティポリシー

「だからさ、それは理論上は正しいけど、実際に運用するとなると話が違ってくるんだってば」

綾香は腕を組んで、玲奈をじっと見つめた。対する玲奈は、コーヒーを片手に涼しい顔をしている。

「そう？ 私の視点から見れば、運用上の問題はすべてプロセス設計の段階で解決できると思うけど？」

「いや、そういう話じゃなくてさ」

綾香は軽くため息をつく。

「たとえば、企業のセキュリティポリシーを決めるときって、技術的に正しいからって理由だけで通るわけじゃないでしょ？ そもそも、人間がそのルールをちゃんと守るかどうかって話があるじゃん」

「ふむ」

玲奈は顎に指を当て、少し考える素振りを見せる。

「つまり、綾香は技術だけでなく、人間の行動も考慮するべきだと言いたいのね？」

「そう！ やっと伝わった！」

「……でも、それならなおさらシステム設計の段階で『人間が間違えない仕組み』を作るのが理想じゃない？」

「だから、それが理想論すぎるんだって！」

綾香は机を軽く叩く。

「現実問題として、どんなに完璧な仕組みを作っても、人はバカなミスをするんだよ。例えば、セキュリティ研修を100回受けても、パスワードを付箋に書いてモニターに貼るやつは絶対にいる」

玲奈は少し微笑んだ。

「なるほど。それは確かにあるわね。でも、それを考えるなら、結局『いかに人間がミスしない環境を作るか』がカギにならない？」

「だから、それを考慮するなら、技術的なセキュリティ対策だけじゃなく、組織の文化とか心理的な要素も絡んでくるんだってば」

綾香は再び腕を組む。

「たとえば、厳しすぎるセキュリティポリシーを設定すると、結局ユーザーが抜け道を探し始めるじゃん？ 厳しすぎるルールが逆にリスクを生むって話、あるよね？」

「ええ、それはセキュリティ・スループットの問題ね。セキュリティを強化しすぎると、ユーザーが使いづらくなり、逆にリスクが増える」

玲奈はコーヒーを一口飲む。

「でも、そこで最適なバランスを取るのが、設計者の仕事でしょ？」

「だから、そのバランスの話をしてるの！」

綾香はもう一度、深く息をついた。

「結局さ、私が言いたいのは、セキュリティって技術だけじゃなくて運用と人間の行動の組み合わせで決まるってこと。いくら完璧な技術があっても、人が適当に使ったら意味がないでしょ？」

玲奈はしばし沈黙し、それから静かに頷いた。

「……そうね。それは確かに一理ある」

「やっとかよ！」

綾香は少し安心したように笑う。

「まぁ、正直、私も技術的に完璧なシステムが理想なのはわかる。でも、現実はそう簡単にいかないんだよね。だから、技術と人間の間でちょうどいい落とし所を見つけるのが大事ってこと」

玲奈は納得したように頷き、スマホを軽くタップする。

「じゃあ、次に議論するなら、具体的にどの領域でバランスを取るべきかって話ね？」

「え？ まだ続くの？」

綾香は若干げんなりしながらも、どこか楽しそうだった。

＊＊＊