いろいろな仕事を渡り歩き、今はインフラ系エンジニアをやっている。いろんな業種からの視点も交えてコラムを綴らせていただきます。

セキュリティーと発言して大袈裟だなとつまはじきにされる現場のセキュリティー担当はどんな気持ちで仕事をしているのだろうか。

»

▪️やっちゃったね年金機構

 先日、日本年金機構で大規模な個人情報の流出があった。原因はメールに添付されていたウイルスとのこと。職員のウイルス感染が発覚したのが5月8日。公表したのが6月1日。今回流出した個人情報は125万件。「基礎年金番号」「氏名」「生年月日」「住所」を含んでいるとのこと。不正アクセスの先はファイルサーバ。個人的には、このファイルサーバというのがいろいろなことを想像させる。

 もしこのファイルサーバが従業員による野良NASだったら。セキュリティー担当は怒りで発狂していることだろう。もしくは、辞めた従業員が使ってたPCに共有フォルダを作って、勝手にファイルサーバに使っていたものだったら。想像しただけで胃がキリキリしてくる。

▪️セキュリティーの強さの基準

 相対的に見ると、日本年金機構がそこまでずさんとは思えない。下には下がいる。想像を絶するほどずさんな企業はたくさんある。お役所体制の典型例のような失敗例が指摘されるが、大企業でも似たようなお役所体制はよく見る。日本年金機構を一方的に叩けるほど、一般的なリテラシーは高くない。

 そもそも、情報を守ることが仕事の一部と認識しているだろうか。特に、ITスキルが低い人ほどセキュリティーに疎い。組織の上層部でも、セキュリティーの意味を取り違えていたり、あまり関心が無い人が一定数はいる。

 セキュリティーの強さは、セキュリティー担当の技量というより、会社全体の振る舞いで決まる。これはもっと一般的に理解されるべきだと思う。また、予算を割いたからといって、一定のセキュリティーレベルを確保できるとも限らない。そこで働く人のリテラシーの高さも要求される。

◾︎セキュリティーに疎い人ほど対策が必要

 セキュリティー自体は何も生み出さない。リテラシーを徹底させても、覚えるべき手順が増えて面倒くさい。業務の効率が上がることは無い。ウイルス対策ソフトを入れてもPCの性能が上がる訳ではない。むしろ、変なアラートが出て鬱陶しい。セキュリティーの意味が理解できなければ、邪魔以外何者でもない。

 実際にそういう不満を聞くセキュリティー担当も多いと思う。やれ、パスワードを覚えるのは面倒くさい。酷いのになると、パスワードを忘れて逆ギレされる。USBメモリ買ったのに使えないとはどういう事だとキレられる。

 セキュリティー対策は、意識が低い人ほど必要になる。ITが嫌いで関わりたくない人に、やれパスワードを入れろ、あれがダメ、これがダメとチクチク言わなければならない。理不尽な理由でぐずる子供を説得するようなしんどさがある。

◾︎見えない敵と戦い続けるセキュリティー担当

 多くの人にとってセキュリティー事故の起きる確率は、飛行機事故より低いと思われているだろう。だが、飛行機が事故を起こさないのは、整備する人の懸命な努力があってこそだ。それでも起きる時は起きる。

 何もないのがセキュリティー担当の成果だ。コスト意識が高い・・・いや、コスト意識に固執する人に「どういう利益を生み出すのか?」と問いただされて、納得のいく答えを提示するのは難しい。実質、何も生み出していないからだ。生み出す事を基準に語られると、セキュリティー担当はどうしても苦しい立場に追い込まれる。

 ニュースを見ていて、情報漏洩の恐怖を煽るだけなので理不尽に思う。役に立つ情報を全く提供していない。セキュリティーの問題はどっかの誰かに丸投げで、「うぁー、悲惨だね」で終始している。セキュリティー担当の最大の敵は、そういう世間の無関心だと痛感する。

Comment(6)

コメント

ごりぶう

Anubisさん。こんにちわ。

> セキュリティーと発言して大袈裟だなとつまはじきにされる現場のセキュリティー担当はどんな気持ちで仕事をしているのだろうか。
『いいかげん殴るぞ、この馬鹿ども』
と思いながら仕事をしてます。
あまりにも共感できる内容でしたのでコメントしました。

いつも楽しく拝読させていただいています。
コラム執筆も大変かと思いますが、頑張ってください。

キュリア

ウイルスが悪いとか、危険なメールを知ってて開けた担当者が悪いとか言われてますけど、そんなウイルスの実行を許してしまうOSが悪いっていう声を全く聞かないんですけど、なぜでしょうか?

afoo

http://www.itmedia.co.jp/enterprise/articles/1506/09/news038.html
ここから日経の記事を辿れますが、要約すると、
・サーバ上に個人情報を置くことは原則禁止してた。
・基幹システムからデータを抽出するには申請が必要だった。
にもかかわらず
・5年以上前の日本年金機構発足時から共有ファイルサーバに置いてた。
・職員間、事務所間で共有してた。
とのことのようです。

必要になった都度申請するのが手間だからずっとサーバにあげとけば便利、
それで漏洩リスクが増大しても知ったこっちゃない、
気を付けてれば漏洩なんて起こらない、
と、そんな認識の職員が多数派だったと想像します。

やられちゃったね

年金機構の情報漏えいを受け、わが社でも情報部から注意喚起と漏えい対策をしっかりと行えという旨の通知が出ました。

1.怪しいメールは絶対に開くな
2.ファイルサーバ上に個人情報が含まれるファイルを置く場合はパスワードを設定しろ

って、ぉぃ。
1は客からのメールを開くなってことですか。見しらぬメールアドレスからのメールなんていくらでも来るんですが。
あと、Outlookがデフォルトでプレヴュー表示して開封する設定になってるから、開きたくなくても自動で開かれてしまうんですケド?
2は、うちの職場も数百のファイルがあるけれども、職場によってはそれこそ千とか万に上る個人情報ファイルがある。これを勝手にパスワード設定させたら絶対に開けなくなるファイルが出るよね?

賭けてもいい、この通知は守られない。
個人情報を多く扱っている部署ほど守れない。

hy

↑のような感じで洩らしちゃったんでしょうね。南無。

hage

設定がそうなっているから、今までがそうだったから、手間がかかるから、は理由にならない。
意識が低すぎるのが問題だし、ウイルス作者はそういう人をターゲットにして攻撃する。

まずはどう対応すべきか話し合うべきだし、個々人だけの努力では限界があるのも事実。
メールの通知1つじゃ、確かに誰もやらないし、会社の程度が知れる。

コメントを投稿する