会社のブログに「ブラックリストとホワイトリスト 」という投稿をした。そこでは、Windowsのソフトウェア制限ポリシーでの両者の使い分けについて解説し、可能ならばホワイトリストを使うほうが望ましいということを説明した。

ところで、アンチスパムなどはともかく、ソフトウェア制限ポリシーなどのように汎用的にシステムに制限をかける機能において、ホワイトリストのアプローチはどこまで現実的なのだろうか。

別にホワイトリストのアプローチを非難しているわけではない。純粋にどこまで現実的なアプローチかを知りたいだけだ。

たとえば、今回のソフトウェア制限ポリシー。もしホワイトリストでのアプローチをとれば、確かにセキュアなシステムを構築できるだろう。許可されたアプリケーションしかユーザーは起動できない。しかし、これはエンドユーザーによるスケーラブルなシステムの利用をまったく許可しないことになる。企業内システムにおいて、社員のエンパワーメントを考えた場合、ここまでの統制というのは本当に正しいアプローチなのだろうか。

昨今の情報漏えい事件への対策として言われる

• 私用PCを仕事で使わない
• 会社のPCを自宅に持ち帰らない

という方針の徹底に対しても同じような懸念がある。

会社のITガバナンスという観点においては、一点の曇りもなく正しいが、果たして、パーソナルコンピューティングという大きな視点で考えた場合、これは本当に正しいアプローチなのだろうか。

われわれは常に持ち歩くことができ、仕事にもプライベートにも使うことのできるようなコンピュータシステムをパーソナルなシステムとして夢見ていたのではないだろうか。仕事とプライベートでPCを使い分け、データのやり取りもすべきでない。これがわれわれが努力した果てにたどり着いたシステムの姿なのだろうか。