SNS の投資対効果を検討する
4月11日の Boston Globe 紙にショッキングな記事が掲載された。きわめて簡潔に言うとパスワードを変更することは時間と金の大きな無駄だ、というのがその記事の内容だ。
えっ、本当か?
この記事は、Microsoft の研究員、Cormac Herley 氏によって1年前に書かれた論文をベースにしていた。記事のタイトルは「So Long, And No Thanks for the Externalities: The Rational Rejection of Security Advice by Users」(さらば形式主義:ユーザーによるセキュリティ勧告の合理的拒否)だった。研究論文にしては素晴らしいタイトルだ。だが、読む価値はあるのだろうか? もちろんだ。
熱心なセキュリティ専門家ならこの記事のことを知っていただろう。それでも、企業ネットワークのセキュリティを任された IT 専門家は、自分たちの社内ポリシーの1つが不要だなどという話をユーザーが一般紙で読むことを決して好ましくは思わないだろう。
Globe 紙は、Herley 氏の調査のなかの1つの狭い分野に話題を絞っていた。パスワードの変更だ。この論文が指摘したポイントは、日常生活においてユーザーは IT スタッフから課される企業のあらゆるセキュリティポリシーに抵抗するが、その拒絶反応は「陰気な科学」である経済学によって合理的に説明できるという。
Herley 氏の結論を過度に単純化すれば、ユーザーに一連の試練(毎月のパスワード変更作業など)を課すと金銭的コストにつながるということになる。また、ユーザーがセキュリティポリシーを無視することによる損失もコストにつながる。
しかし実際には、少なくともパスワードの変更のようにユーザーが実施する作業で実現するセキュリティに関しては、セキュリティがない場合のコストよりセキュリティを用意するコストの方がはるかに大きい。
これは経済学者の考え方だ。企業の考え方ではない。しかし、そう考えるべきかもしれない。
確かに、大企業になるほど社員を高価な資源だと考えるが、それは「すでに対価を支払い済み」だと考える。つまり、給与コストは固定されている。どうせ給与を支払っているのだから所属部署の目標と関係ないことをさせても問題ないという論理だ。
残念ながら、大企業で最も大きな障害の1つは、社員がこのような命令を抱え込んでしまう傾向にあることだ。セキュリティポリシーはもちろん大切だ。しかし、トレーニング、ミーティング、出張など、場合によって社員の時間をすべて奪いかねないことはほかにも数多くある。
残念ながら、目標達成のために社員に与えられる時間が少なければ少ないほど、新しい社員やコンサルタントを雇い入れ、残業させる必要は高まっていく。
欠けているのは、これらの命令に対する費用便益の分析だ。
例として、1回分のミーティングについて考えてみたい。簡潔にするため、そのミーティングには年間10万ドルを支払っている社員が10人出席するとする。会社は1時間あたり50ドルの時給を支払っていることになる。つまり、1時間のミーティングを開くと会社には500ドルの費用が発生することになる。
さて、このミーティングは実際に500ドルの利益を会社にもたらしただろうか? おそらくもたらしていないだろう。大半のミーティングのメリットを金銭的に算出することはできないが、ミーティングの成果にはたぶん全く価値はない。
では、本社で100人の社員を総動員して開催するミーティングはどうだろう? スタッフの時間、旅費、諸経費などで数十万ドルのコストになり、会社が得るものには真の価値がほとんどなきに等しい。
費用便益の観点から見ると、大半の大企業は社員やユーザーへの命令に膨大な金額を無駄にしている。
http://japaninternetcom.pheedo.jp/click.phdo?i=5412f84d6168a23e0a926001c3d7b40d
「依依恋恋」という慣用句があります。
恋慕うあまり離れるに忍びない様子。
いいですね〜〜、私にもこんな時期があったなぁ。。。
でもいくつになっても恋はいいものです。
PICKUP
借入した後に自己破産を申請サラ金の将来利息はいくら?サラ金が会社まで取り立てに!債務整理は司法書士に長期総合保険近視手術(レーシック)パチンコで作った借金を返済したい個人向け貸付に総量規制ファーミング/詐欺被害を防ぐ進学で引越しPR
