社内SEの実態を公開

原則、禁止です

»

 情報システム部門の大事な業務である、会社のセキュリティを守るためのルール作り。

 業務系のシステムばっかり担当してきた私ですが、セキュリティルール策定の隊長に任命されました。数年前も軽く携わったことがあるのですが、当時とは比較にならないほど大変です。改めて思うのは、「IT技術の進歩、半端ねっー!」

■個人所有機器の業務利用(BYOD)

 携帯電話からスマートフォンに早変わり。インターネットもできて、ファイルも開いて読める。カメラも当たり前についていて、いろいろなアプリも購入できる。私自身こっそり業務に使っていたのですが……。アメリカの方からBYOD(Bring Your Own Device)とかって言葉がやってきて、個人所有スマホの業務利用についてのガイドラインを作らないといけない時期に来てしまいました。

 当たり前のように、セキュリティ基準を強めれば業務で使えないし、ゆるくすると危ないし。個人の所有物に制限を掛けることも難しく、悩みは尽きません。「それぞれの良心に任せる!」って言いたいんですけど、そうもいかないので策定にはいります。

 シンクライアント的なアプリを導入して、限定した環境で社内の情報にアクセスし、そのアプリの外に情報を保存できないようにする! という一般的なソリューションにしようと考えています。私は使いたくないですが。

 正直、黙って自分のやり方で業務に使えって感じです。情シスに「これって使っていいんですか?」とか聞けば当然、あれこれ言いますよ。自身で判断するバランスが大事だと思います。とか言いながら、私は名刺をスキャンしてiPhoneに入れて管理していたのですが、恐ろしくなり全部削除しました。身辺整理を可及的速やかに実施です。隊長がセキュリティの問題でやらかしたらシャレにならないので。

■タブレットというか、iPad

 これまた浸透力、半端ねっす。電車の中でも、お店でも見かけることが多くなりました。これを業務に使おう! というか外出時、ノートパソコンの代替になるのか検討開始です。……が、アプリの壁が……。

 いったい何のアプリが有効か、分からんのです。星の数ほどあるアプリの中で、セキュリティもばっちりで、業務につかえて、サポートも受けられる。それを探すもの大変です。心の中では「使いたきゃ、てめーで買って自由に使え!自己責任でな!」って言いたいんですけど策定に入ります。

 ExcelやPowerPointの編集をノートパソコン並みにできればいいのですが、まだまだ難しいですね。「業務上のデータを保存するな」「社内のネットワークに接続させるな」、セキュリティの「しばり」でiPadのメリットが少なくなっていきます。電車や飛行機の中で資料を読んで、客先でプレゼンとか、超かっこいいのに。

 でも、それができるのはiPadのCMの中だけなのかもしれません。少なくともうちの会社は保守的なので無理ですね。会社から支給するのは時期尚早かな。導入できないなら明確な理由を提示しなくては納得してくれません。コスト増になるということで、BYOD1本でいきたいですね。

■ブラウザ

 ちょっと違った観点ですが、一昔前ですと「ブラウザはIEを使え! それ以外は知らん!」だったのですが、Chromeのシェアがすごくて、iPad/iPhoneで使われているSafariでアクセスする人も増えています。会社のHPやWebアプリ関係、もIE以外のブラウザに対応していかないといけないです。スマホ対応が必要なものもあります。推奨環境やシステム開発のガイドラインも見直さないといけない時期に来てしまいました。

■クラウド

 そして問題は「クラウド」です。

 今は当たり前のように個人で無料のクラウドが使えます。ストレージ、メール、スケジューラもある程度は無料です。常識の範囲内で使ってくれたらいいのですが、会社の重要文書をパブリックなクラウドのストレージに入れて流出された日にはたまりません。

 「個人契約クラウドサービスの業務利用は禁止」とくらいしか利用の規制をかけようがないのが実情です。とは言いながら、困るケースも当然ありまして。

 例えば、「先日視察に行った先で撮った写真(個人のiPhoneに保存)を社内の報告資料に添付したいんだけど。写真いっぱいあってメールで送るのは無理!」

 ……うっ、これを言われるとつらいな。家のパソコンで同期して取り出してきてね、としか言えないです。

■社外へデータを持ち出す方法

 一体どうなってるの? というくらい数年前と比べて持ち出す手段が増えています。

 USBも大容量になり、DVD、Blu-rayも気軽に買えます。外付けハードディスクもポータブルなものが出ています。デジカメとかゲーム機で利用されているSDカードとかも大容量低価格になり、目に見える媒体がいっぱい増えました。

 その分、それぞれで対応・対策を打たなければなりません。盗難・紛失対策として暗号化可能なデバイスにし、DVD等のメディアはパスワード付圧縮ファイルで焼くことにしました。「失くすな!」ってのは無理なので、紛失しても情報が漏えいしない対策を施さねばなりません。

 目に見えないクラウド・ストレージも曲者です。規制のかけようがないもので、「業務上の利用は禁止とする」ぐらいしか言えません。無料ものは絶対にダメですが、だからと言って有償だからいいというわけでもないし。

 安全性を考えた場合、USBを持ち歩いて紛失し情報が流出する確率と、クラウド上に置いておいたデータが流出する確率と、どちらが高いのでしょう? 疑問です。

■上からの声

 という検討を一生懸命して、ルール作りをしているのですが。突如、上の方から話がきます。

 上:「最近、みんなiPadを使っているね。今度の出張で持っていきたいからよろしく」

 私:「いろいろ検証しているのですが、セキュリティ上の問題と利便性は両立せず、費用対効果が……しばらく導入は見送ろうかと思っていたのですが。」

 上:「大丈夫、大丈夫。変な使い方はしないから、早く導入できるようにお願いね! でも、メールとか写真とか使えないと困るよ。FacebookやSkypeとかもね。走りながら考えればいいんだよ。ルールは後から決めてくれ」

 私:「本当に今導入して、ルールの策定はしなくていいのですか?」

 上:「大丈夫。購入の手配をしてくれ!」

 私:「だが、断る

 と、某奇妙な冒険のように言ってみたいところですが、そんなことは言えず。ルールなしってわけには行かないので、何とか策定し導入させるのですが、出来上がったルールには「原則禁止」という文字がそこかしこに……。

 まったく日本語ってやつは、「原則」とか便利にできていやがるぜ!で、その原則に当てはまらない人は偉い人なんですがね。それで有効活用してくれればいいのですが。

 本家のソフトバンク社長はどんな対策をした上でiPhoneやiPadを業務で使っているのだろう? そもそもルールがないのか、社員一同セキュリティ意識が高いのか分かりません。Twitterで質問したら、「よし公開しましょう!」とか言ってくれたりして。でも、マネできそうにないので、やめておきます。

Comment(0)