2017年1月22日日曜日

Consecration in business practice

There is a security related process in the company I work now. It scrutinizes whether a machine including mobile devices follows the rules and a label is given to the machine which are compliant. I will explain common characters between this process and rituals of consecration in various religions.

the checking in our company does not presuppose that our working environment is secure only if it is properly done. Nor is it impossible to keep security, whatever it means, without the checking. Nevertheless, basically, it is not allowed for anyone to use computers without the checking. Machines are declared secure, regardless of its substance. Thus it has ritual aspect.

Sociologist Emile Durkheim argued in Elementary forms of religious life that the “division of the world into two domains, the one containing all that is sacred, the other all that is profane, is the distinctive trait of religious thought”. This distinction is absolute. However, if we ordinary humans are profane and the two never overlaps, it is entirely impossible for us to have relation with the sacred. Of course it is not the case for any religion. However, it requires “veritable metamorphosis” for the originally profane objects or people to be regarded as sacred. The rituals of consecration serve this purpose.

the checking plays a similar role in our business. Individual employees have the right to use their own computers for their personal, or profane, use regardless of what kind of measures are taken to protect their machines from attacks. However, no machines that has not gone through the ritual of consecration – the checking – is not qualified to be used for our sacred business. Moreover, those machines separated for business purpose should not be used, at least in principle, for private purposes.

It is also very weird that the effect of the checking expires in particular period. Why not more or less? No reasonable explanation in terms of keeping machines secure. Rather, regularly held checking reminds employees of importance of security just as for people in ancient Israel, for example, periodically offered sacrifice reminded them of their sin.

However, consecration is not an easy task because it must undergo metamorphosis. If it is easy, nobody would be convinced of the effect of consecration. So its implementation must be restricted by one way or another: it must be done with mediation of special people, such as priests, who are qualified thanks to their knowledge and personality; the object of consecration has to pass the test of completeness, as in the case of initiation rituals, and so on. In many cases it depends on the conditions which human beings cannot even control.

Although I wrote actual practices of the checking in our company to my colleagues, I will not do here because it may violate confidentiality. I just suggest possible directions of the measures to keep security – to define qualification to check and go through the scrutiny of those qualified, or to automate the process as far as possible.

So far I have treated religion as something where rituals play a central role. It is not always true. Some religions, including prophets of ancient Israel and Christianity, emphasized sacredness of the inside. We can urge each other, using in-house SNS and so on, to take appropriate measures to guarantee security. One merit of this model is that no uniform rule without consideration to specifics is imposed. However, it is very difficult to guarantee and show nobody fails to take appropriate measures, especially to outsiders. As contemporary audit system demands accountability, appearance of compliance is often as important as compliance itself. Combination of relatively loose uniform checking (mainly for accountability) and informal encouragement to achieve substantial security may be a realistic approach.

私が現在勤務している会社では、モバイル端末を含むコンピュータが社内ルールに従っているかをチェックし、順守しているマシンにたいしてはラベルを貼るというプロセスがある。以下ではこのプロセスと様々な宗教に見られる聖別の儀式との共通点について述べる。

自社でのチェックはそれが行われさえすればセキュアであるという前提には立っていないし、チェックが行われなければ(それが何を意味するかはともかく)セキュリティを維持することは不可能とも考えていない。それにもかかわらず、基本的にはチェックが行われていないコンピュータを使用することは許されていない。実態にかかわらず、マシンはセキュアだと宣言される。その意味でチェックは儀式的な側面を持っている。

社会学者のエミール・デュルケームは『宗教生活の原初形態』で「世界を2つの領域-1つは聖なるものすべてを含む、他方は俗なるものをすべて含む-に分けるに分けることが宗教的思考の特徴である」と論じている。この区別は絶対的なものである。しかし、われわれ一般人が俗なる存在で、聖と俗が全く交わらないとすれば、聖なるものと関係を結ぶことは全く不可能になってしまう。もちろんどの宗教でもそのようなことはない。しかし、俗なるものあるいは人が聖なるものとみなされるには、「真の変質」が必要である。聖別の儀式はこの目的のためにある。

チェックは業務の中で同じような役割を担っている。従業員個人は私物であるコンピュータを私的(俗)な目的に使う場合、攻撃から守るためにどのような手段を講じるかはその人次第である。しかし、聖別の儀式=チェックを経ないマシンは我々の神聖な業務のために使うことはできない。さらに、業務目的のために取り分けられたマシンは、少なくとも原理的には、個人的な目的のために使用すべきではない。

さらに、チェックの効果が特定の期間で消滅するのもおかしなことである。なぜそれ以上でもそれ以下でもないのか。マシンをセキュアに保つという意味では納得の行く説明は得られない。むしろ、定期的に行われるチェックは従業員にセキュリティの重要性を思い出させるという意味がある。これは例えば定期的に捧げられる犠牲によって古代イスラエルの民が自らの罪を認識したことと似ている。

しかし、聖別は変質を伴うものであるから、簡単なことではありえない。もし簡単なものであればありがたみがなく、だれも聖別の効果について納得しないだろう。なのでその実行は何らかの形で制限されなければならない。祭司など、その知識や人格のゆえに資格を持つと考えられる特別な人の仲介によらなければならなかったり、通過儀礼のように聖別の対象物が完全性の試験を通ったものでなければならなかったり、といった形で。多くの場合、人間のコントロールがおよばない要素に依存することもある。

社内向けの文章ではこの後社内でのチェックの実態について書いたのだが、機密に触れることになりそうなのでここでは書かない。対策の方向性として、チェックをする資格を定義してその人のチェックを経るようにすることと、逆に可能な限り自動化する方向が考えられると書くにとどめる。

ここまで宗教を儀式を中心としたものとして扱ってきたが、これは常に正しいわけではない。古代イスラエルの預言者やキリスト教などは内面の聖性を強調してきた。同様に、私たちは社内SNSなどを使って、セキュリティを高める施策をとるよう互いを促すことができる。このやり方のメリットは、個別の事情を無視して一律のルールを押し付ける必要がないということである。しかし、だれもが皆適切な対策をとっていることを保証し、示すことは非常に困難であり、特に外部に対しては難しい。現代の監査体制は説明責任を要求しているので、プロセス遵守の外見はしばしば遵守していることと同じくらい重要だったりする。説明責任を果たすための比較的ゆるい一律のチェックと、実質的なセキュリティレベルを達成するための非公式の奨励の組み合わせというのも現実的なアプローチである。