規制には大きく分けて2つある。物理規制と論理規制だ。たとえば事故による車線規制や、イベントなどの入場規制なんかは、物理的規制で、法律・規定や、倫理的な理由による社会からの規制なんかは論理規制だろう。物理規制は目に見えるので、放置されていればいずれ規制の解除に向けた何らかの行動が行われるが、論理規制は目に見えないので、放置しておけば、それが有効であるか考慮されずにどんどん増えていく。
だから、最初に「論理規制については、それが放置されないような仕組みを作っておくこと」が重要だったりする。時限付規制が最も有効だろう。
規制っていうのは、まあ大体の場合において嫌なものなので、できれば回避したい。物理的な規制は回避しづらいが、残念ながら論理的な規制は回避が簡単な場合が多い。
たとえば「法律を守らない」なんてことは、やろうと思えばすぐに可能だ。窃盗は非常に簡単に実施可能な犯罪で大体の人が5分で実行可能だ。やらないのは「良心」という規制と、「社会」という規制、「法律を破った結果としての物理的または論理的規制」が発生することが、国家によってある程度担保されているからだろう。後者の規制が「罰」と呼ばれるものだ。だから、論理的な規制を作る場合、「見直しの担保」と「規制を守らなかった場合の罰」を決めておく必要がある。罰は「規制を守らない場合のメリット」を打ち消す程度のものが望まれる。
さて、私は運用屋なので、規制と聞いた場合にすぐに運用に与える影響を考える。運用を考えずに、厳しい規制が行われた場合、どのようなことが発生するだろうか。たとえば「毎日パスワードを変更することを強制する環境」では「パスワードを簡単にアクセス可能な場所に記載しておく」ことが行われるだろうし、「インターネット接続を一切禁止する開発現場」であれば「管理者がコントロール不能なインターネット接続デバイス」が持ち込まれるだろう。日常的に出入りする必要がある場所に入るための鍵が、借りるために都度数十分かかってしまうのであれば、「合鍵」が作られてしまうだろう。
論理的な規制が激しい環境では、物理的な回避が行われる傾向がある。物理的な回避は検出が難しい。だから規制する時は「規制が過度なストレスを生まない」ような仕組みをあらかじめ考えておく必要がある。パスワードであれば「ワンタイムパスワード」を用いることを検討する。インターネットであれば「アクセスログの監査を定期的に行うこと」を通達した上で、「インターネットアクセス専用端末」を設けて、その端末へデータを入れられないようにし、キーロガーを仕込んでおけばよい。鍵であれば、バイオメトリクスを使用した多要素認証による開錠を用いればよい。
規制を作るのは至極簡単だが、規制した上で「回避が行われず」「運用に滞りがない」ことを考えておかないと、その規制が「本当に守りたかったもの」を守れないようなトリガになっちゃうかもよ、おもつたのであつた。
