セキュリティ管理-基本のトレードオフ
Microsoftの昔の記事。社内でのセキュリティと利便性の両立に関して、悩む事があって、検索すると出てきた。

二つの要素（セキュリティ、利便性）だけでなく
三つの要素　（上記に加えコスト）をふまえた考えで
当たり前といえば当たり前だが、考えをまとめるうえで参考になった。

世間の（企業の）よくある対立としては、以下か。

(管理者)セキュリティと利便性は、相反するからしょうがない。

(利用者)そんなこと言ったって、業務効率が落ちるよ。
・業務効率(利便性)が落ちる被害。
・我慢する人もいれば、
　利便性のために努力して（笑）逃げ道を探りそして見つける人も。
・それが新たなセキュリティホールとなる。

お互いの議論の中で特に管理者側に
「コスト」の論点が抜けているのが原因か？

セキュリティ管理者は「利便性が悪化する」ことは
利用者が我慢すればすむことと思っている場合もある。
しかし、「利便性の悪化→業務効率の悪化→生産性の悪化」
だから、コストに跳ね返ること認識すべき。
（今頃いうな、という自分へ含めたツッコミ）

ただ、コストや生産性の試算が難点。

・あるセキュリティシステムの実装にコストをかけて利便性が現状維持の場合の生産性
・あるセキュリティシステムの実装コストをケチって利便性が下がった場合の生産性

注意深く上の二つのコストと生産性を試算しても
比較した結果って、本当に妥当なものなのか？

・さらに、何もしなかった場合生産性は変わらないが
セキュリティのインシデンスが発生したときのコスト試算も必要。
（これはよくある話）

もう、まじめにはやってられない。（半分本音）
自分が経営者だったら、ギャンブル的に、直感でやる！
（または、対策しないで、なったときはしょうがない、と腹をくくる(笑)）

その他、上記記事からの引用
それぞれの仕事のカテゴリが相反する誘因を持つことになるため、システム管理者またはネットワーク管理者にセキュリティを管理させることは逆効果です。システム管理者またはネットワーク管理者としての仕事は、コンピュータを機能させることであり、ユーザーが何も考えずに技術が機能するようにし、技術を透過的にすることでしょう。セキュリティ管理者としての仕事は、まさしくこれと正反対です。分裂した人格を持たない限り、両方を上手く行うことはできないでしょう。両方の管理者を喜ばせようとすることは、ジギルとハイドを地で行くようなものです。

ああそうか。だから自分はうまくできてないんだ。とある意味納得。
自分はさらにサーバ管理者、も兼務している状態だけど、
（もちろん利用者でもあるし）
自分の立ち位置を決めないと、業務もうまくいかないし、
心を病んでしまう！！