足枷になるなら捨ててしまえばいいと思うの
開発技術の進歩は留まるところを知りません。このコラムを書き始めたころである 2008 年と現在では、同じ言語で開発するにしてもプログラミングを行う内容が非常に変化していても不思議ではありません。
当時は .NET 3.0 から 3.5 に移ろうとするあたりで、まだクラウドという名称も世に現れてはいませんでした。作成するシステムもどちらかといわなくとも、オンプレミスな環境で動作させるものが大勢を占めていたと思います。それが今では、外部環境にホスティングさせるどころか、クラウド上で非常に安全に多重化されている環境で動作させることも珍しくなくなり、反比例するかのようにかかるコストは減少しています。
一部の尖った人たちにより利用されているだけ、と見る人たちもいますが、これは過去においては非常に高額であった構成が、既に一般化し安価に利用できる体制が整っているからに他なりません。簡単に見積もっても、当時の半額程度で当時の倍は耐障害性の高いシステムを構築できるようになっているかと感じます。
しかし、やはりというかなんというか。このような時代になっても、その企業が考えるポリシーに適せないという理由で、利用できるものを利用していないところも多いのではないでしょうか。
セキュリティポリシーやコンプライアンスといった、行動に制限をかけるルールがせっかくの環境を利用できなくしています。外部環境にシステムを置くことは、万が一のセキュリティリスクを考えると許されない、と言われている人も多いでしょう。確かに「万が一」を考えた場合、少しでも危険性があると思われる要素は、できるだけ利用しないほうがリスクを減らす意味合いで簡単です。安全な経路のみに限定することで、危険性を低めるというのはわからないでもありません。
ですが、そのために利便性を損ねた形でしかシステムを提供できないとしたら、それは何か間違っているように思えるのです。
一昔前では、USB メモリを利用不可にする企業が多かったと思います。内部社員による情報漏えいを防ぐ、という名目で導入されていたと思われるこのルールですが、だからと言って情報漏えいが防げていたかというと、そんなことはなかったのも皆さんご承知の通りです。情報を流出させようとした場合、最終的に紙に書くなどのアナログ的な手段がある限り、防ぎきることは不可能です。一度に大量に漏えいするのを防ぎやすい面はありますが、本当に外部へ情報を持ち出そうとした場合、USB メモリなどを利用しなくても様々な方法があります。そこには目をつむり、簡単に導入できるという理由だけで導入していた企業も、多いのではないか、と疑ってしまう面は今でもあるでしょう。
またオンラインストレージを利用不可にするポリシーも、多くの企業で採用されていることと思います。これも確かに流出を防ぎやすいと思われていますが、実際にオンラインストレージを経由した流出よりも、違う手段で情報を持ち出しているほうが多いのではないか、と思えるところがあります。
特に昨今では、それなりにセキュリティ意識についての啓蒙も進んでいることがあり、登場当初のような提供側の問題による流出を除き、それほど流出にオンラインストレージを経由したとの記事は見当たりません。これはポリシーで禁止しているからではなく、利用者が「どう利用すると危険か」というのを意識するようになったから、だと私は感じています。さすがにもう、オンラインストレージでフルアクセス可能な状態で、機密情報を置いておくというのは、設定ミス作業ミスを除いて発生しないのではないでしょうか。
このような状況を見ると、一度決めたセキュリティポリシーやコンプライアンスを、後生大事に守り続けている今の状態があまり良い事とは思えません。定期的に世の中の情勢と併せ、見直していくことが必要だと思います。
せっかく便利な世の中になってきているというのに、それを利用しないのでは利用している企業とどんどん差が広がるだけです。それならば、積極的に新しいものを利用し、本当に危険と思われる部分にのみなんらかの制限を行うことが必要なのではないでしょうか。
もう USB を禁止する、オンラインストレージを禁止する、といった短絡的な方法はそれほどの効果を発揮しません。むしろ生産性を下げる要因にしかならないと、私は考えます。生産性の向上を求めるならば、このあたりに対する考え方を変えていかなければ、いつまでたっても状況を良くしていくことは難しいでしょう。
わずかな危険のために、多くの無駄を出してしまうのは非常に勿体ない事だと思います。そこが改善できたとしたら、今よりももっと仕事の行いやすい環境を作ることができると思うのは、私だけではないと思います。禁止することは、本当の意味での防御策にはなりません。このあたりを、今一度考えなおしてもらいたいものです。