久々に会社ネタ。
どうも一向に情報漏洩が減らないらしく(※)、今年度中に子会社を含めてグループでとあるセキュリティソフトウェアを導入させられるらしい。詳しくは書けないが、要するにファイルパーミッションと暗号化をガチガチに掛けるような感じのシステム。
※もっとも、漏洩元としては外注先が最多で、外注会社へは現状大したことはしていないのである意味で当然の現状である。押さえるべきところを押さえずに「減らない」とか言うなっつーのな。
で、これ、過去に二度ほど情報セキュリティ担当者向けの説明会を開催しているのだが、
・仕様がまだあやふや
・仕組みはさておき、導入コストや工数が全く示されていない
という、現場運用担当(=俺)としては憤激失笑モノの状況が続いている。
改めて実機のデモをするとのことで、前回までよりは格段に少人数の説明会に行ってきたのであるが、周囲を見ると、部課長クラスしかおらず、若手ぺーぺーは俺一人。いいんかいなと思いつつ(上司曰く「行ってこい」なので)、参加。
変わらず、「ダメダコリャ」だった。
・細かい仕様が確定していない
・ファイルパーミッション制御に全社ミニマムが存在しない
・相変わらず必要リソース(コスト、工数、NW帯域等)の明示がない
……もうね、どこからツッコんでいいやら。
周囲は割とミクロ視点でズパズパ意見を出していた(自部門の場合云々、みたいな)が、個人的にはもっと根本的な、マクロ視点での問題があると認識していたので、
私見:
■非常に大規模な導入計画にも関わらず、仕様検討における現場からの情報収集が致命的に不足している。
■そのため、説明会等で受けた指摘で再度仕様変更、さらにまた指摘を受け……というスパイラルに陥っている。
■今のままで「こんなの作りました」で「導入して下さい、これは業務命令です」と言ったところで、現場は反発するだけで導入なんか進まない。
■今必要なのは、「こういう仕組みを考えてます」で、「導入しようとしたら現場業務でどんな問題の発生が想定できますか?」という、現場への問い掛けと情報収集。それで仕様を検討し、現場と擦り合わせを行っていくべき。
■「上から視点」だけでこういう施策は進まない。
と言ってきた。相手は情報セキュリティ主管部門のこれまた部課長クラスだが、ある意味怖いモノ知らずなので。
全員に徹底できないことを「やれ」というよりも、全員が徹底できることを少しずつ積み上げていく方が情報セキュリティという観点では望ましいのである。向こうはこのシステムの導入が目標なのかもしれないが、現場は業務を回さないといけないのであって、そこに齟齬が生じる以上、それを予め解決できるような方向に持って行かないといけない。この視点が決定的に主管部門に不足している。何度も言っていることだが、単なる情報漏洩対策は情報セキュリティ施策ではない。情報セキュリティ施策を標榜する以上は、機密性と完全性だけではなく、可用性までバランスされている必要があるのである。
情けない話だが、これがウチの会社の現状。
……間違いなく参加者内では俺が最若手なんだがなー。ここまで言わんとダメかい。
どうも一向に情報漏洩が減らないらしく(※)、今年度中に子会社を含めてグループでとあるセキュリティソフトウェアを導入させられるらしい。詳しくは書けないが、要するにファイルパーミッションと暗号化をガチガチに掛けるような感じのシステム。
※もっとも、漏洩元としては外注先が最多で、外注会社へは現状大したことはしていないのである意味で当然の現状である。押さえるべきところを押さえずに「減らない」とか言うなっつーのな。
で、これ、過去に二度ほど情報セキュリティ担当者向けの説明会を開催しているのだが、
・仕様がまだあやふや
・仕組みはさておき、導入コストや工数が全く示されていない
という、現場運用担当(=俺)としては
改めて実機のデモをするとのことで、前回までよりは格段に少人数の説明会に行ってきたのであるが、周囲を見ると、部課長クラスしかおらず、若手ぺーぺーは俺一人。いいんかいなと思いつつ(上司曰く「行ってこい」なので)、参加。
変わらず、「ダメダコリャ」だった。
・細かい仕様が確定していない
・ファイルパーミッション制御に全社ミニマムが存在しない
・相変わらず必要リソース(コスト、工数、NW帯域等)の明示がない
……もうね、どこからツッコんでいいやら。
周囲は割とミクロ視点でズパズパ意見を出していた(自部門の場合云々、みたいな)が、個人的にはもっと根本的な、マクロ視点での問題があると認識していたので、
私見:
■非常に大規模な導入計画にも関わらず、仕様検討における現場からの情報収集が致命的に不足している。
■そのため、説明会等で受けた指摘で再度仕様変更、さらにまた指摘を受け……というスパイラルに陥っている。
■今のままで「こんなの作りました」で「導入して下さい、これは業務命令です」と言ったところで、現場は反発するだけで導入なんか進まない。
■今必要なのは、「こういう仕組みを考えてます」で、「導入しようとしたら現場業務でどんな問題の発生が想定できますか?」という、現場への問い掛けと情報収集。それで仕様を検討し、現場と擦り合わせを行っていくべき。
■「上から視点」だけでこういう施策は進まない。
と言ってきた。相手は情報セキュリティ主管部門のこれまた部課長クラスだが、ある意味怖いモノ知らずなので。
全員に徹底できないことを「やれ」というよりも、全員が徹底できることを少しずつ積み上げていく方が情報セキュリティという観点では望ましいのである。向こうはこのシステムの導入が目標なのかもしれないが、現場は業務を回さないといけないのであって、そこに齟齬が生じる以上、それを予め解決できるような方向に持って行かないといけない。この視点が決定的に主管部門に不足している。何度も言っていることだが、単なる情報漏洩対策は情報セキュリティ施策ではない。情報セキュリティ施策を標榜する以上は、機密性と完全性だけではなく、可用性までバランスされている必要があるのである。
情けない話だが、これがウチの会社の現状。
……間違いなく参加者内では俺が最若手なんだがなー。ここまで言わんとダメかい。