Mogicはかんがえる

『自分たちの好きなように会社を作っていけばいい。
他と違ってても、普通じゃなくても、信じられることをやっていく。
信じられること、それって案外と少ないものですから
そう、本当に愚直に、率直に、真摯にそれを探してきたんです』

代表取締役　山根陽一

2025.07.23 posted by 山根陽一

緩やかな速度を感知できない

年に何度かセキュリティの監査を受けています。

気軽に口にする“セキュリティ”、どこからも聞こえてくる“セキュリティ”、わかっているようでわかってない、そんな心持ちになったので少し掘り下げてみようと思います。

セキュリティに関して共通的に使用される用語（概念）がある。

1：リスク（risk） - 何かしらの損失を発生させる事態や状況への可能性。また、考えられる脅威を分析した結果として認識される損失発生の可能性（リスク因子）を指すこともある。

2：脆弱性（vulnerability） - リスクを発生させる原因。

3：脅威（threat） - 脆弱性を利用（exploit）して、リスクを現実化させる手段。

4：対抗策（countermeasure） - 脅威がリスクを現実化することを抑止（最小化）しようとする手段。対策ともいう。

5：保証（assurance） - 期待されたセキュリティを備えていることの「確からしさ」を見積もること。

6：評価（evaluation） - 保証の裏付け（エビデンス）を与えること。
ーーーーーー

このうち、やがて面倒になりそうだと思ったのは脆弱性（vulnerability）と脅威（threat）の部分です。

なぜなら他の項目より外からの影響を受けやすく、時間とともにゆるやかに変化するだろうから。

小さな歪みが軋みを生んで、くりかえしガタピシいって、カタカタドスンとやってくるかもしれない。

そのズレていく緩やかな速度って、人間が感知するのは難しいと思うんですよね。

ということを鑑みるなら、セキュリティを「変化しやすい場所」からとらえなおしてもいいんじゃないでしょうか。

会社で一番変化しやすい場所を順番にリストし、その変化率を追う。

例えば、入社や退社、組織の改編やはたらく人の導線、お金の出入り、持ち運ぶモノとか。

そんなスローモーな監査、時間を早送りしながらやってみたいものです。