こんばんは。新型コロナウイルスの影響で、テレワークに移行されているケースも多いと推察します。コロナ禍以前から周到に準備されていた組織もあるようですが、緊急事態宣言を受けて、急遽導入したというケースの方が多数派ではないでしょうか。

　これに関連して、VPN装置のセキュリティパッチを当てていなくて問題になったケースがあります。前回の記事です。

karasuma-kitaoji.hatenablog.com

　この問題に限って言えば、「最低限セキュリティパッチは当てておけよ」という話になります。

　一番怖いのは、「よく分からないけど、何かあったら怖いからテレワーク禁止な！」と上層部が判断してしまうことです。それによって、従業員がテレワーク可能な環境にあるにも関わらず、出勤せざるを得ない状況に追い込まれてしまいます。

　「何かセキュリティ事故があったらたいへんだ」は理解出来なくはないです。でも、それを言い出したら、何も出来なくなってしまいます。

　究極のセキュリティ対策は「事業を畳むこと」になってしまいます。確かに何もしなければ安全ですしね。でも、それでは路頭に迷ってしまうことになります。

　当たり前のことですけど、普通に生活していてもリスクは存在します。通勤途上で車に轢かれるかもしれません。電車を待つホームで突き落とされるかもしれません。乗っている電車が脱線事故を起こすかもしれません。駅から職場に行くまでの道で、工事現場の鉄骨が落ちてきて大ケガをするかもしれません。

　そもそもゼロリスクなんてあり得ません。ほんの僅かではあるものの、リスクは存在します。「ゼロリスクじゃないとダメだ！」と言い出したら生きていけませんよねぇ…。

　結局、幾ばくかのリスクは受容しながら生きて行かないといけないことになります。

　これは、情報セキュリティの世界でも同様かと考えられます。PCやスマホやタブレットをインターネットに接続して利用するという時点で、多少なりともリスクを背負わないといけません。利便性とリスクを天秤にかけて、リスクを可能な限り小さくして行くことが大事です。「危ないから利用禁止」では、当然のことながら生産性は向上しません。料理をするにあたって、「危ないから包丁を使うのを止めましょう」とか、「火災の危険があるからガスを使うのを止めましょう」とか、「電磁調理器も発火の可能性がゼロではないから使うのを止めましょう」では何も出来ませんね。

　当たり前のことですけど、リスクを回避し続けたら何も出来ません。自分がリスクを回避するために、自分が負うべきリスクを他人に押し付けたら…。

　このへん、もう少し書いてみる予定ですので、少々お待ち下さい。<(_ _)>