「セキュリティ対策というと，コンピュータやネットワークの利用を厳しく制限することだと考える“セキュリティ原理主義”の管理者が少なくない。しかしそれでは，そもそも何のためにIT投資しているのか分からない。ITによる恩恵を最大化することも忘れてはいけない」

• そう考える管理者は単なる権威主義 なのでは…。管理者は偉い!こっちに決めたことに従えっ!と言いがちな人は、実はセキュリティに詳しくないこと(それどころかまったく無知なことすらある)が多い気がするので。そうでない人が制限を多く課す場合ってよっぽどなのではないですかねぇ…。

そして，理想的なシステムに近づけるために施すのがセキュリティ対策である。定石は存在するものの，セキュリティ対策はシステム（サービス・システム・モデル）によって異なる。あくまでも，システムの一部であり，システムと分けて考えられるものではない。にもかかわらず，「どのようなシステムを対象とするのか」を明確にしないで，「どのようなセキュリティ対策を施せばよいのか」だけが議論される場合が多い。これは無意味だ。現場を知らないで適切な対策を考えることはできない。

• 現場を云々のくだりはごもっとも。コンピューティングも社内に於ては会社の目的を達する手段の一つでしかないわけで。自分達のやっている業務を知らないでポリシーやらシステム構築なんて出来ませんです。