そろそろルールを破壊しよう
週末から世間を賑わしているランサムウェアな WannaCry ですが、実際に感染された環境の方は大変ご苦労様です。特に日頃から、ある程度、会社のシステム部等で管理されているような環境であるにも関わらず、このような事態を招いてしまったのは、どうしてなのでしょうか。
いまだにサポートが切れている環境を利用している場合は論外として、1か月以上前に提供されているセキュリティパッチが未適用だったり、既にやりつくされた感のある不審なファイルを注意せずに開いてしまっていた、などなど本来であれば防げた事象であったと思います。
このような事態になった理由として、システムを管理できていなかった、セキュリティ教育を行えていなかった、なども考えられますが、その大元をたどっていくと、このようなセキュリティリスクを見据えた対策が間違っていた、とも言えるのではないでしょうか。
今回の件だけを考えるのであれば、そこまで考えなくてもいいのかもしれません。ですが、多くの企業でセキュリティに関連したトラブルが発生している以上、今まで実施してきた方針では防げない、もしくは今までの方針はプラスに働いていない、そのように考えることができると思います。
これまでは、外部との接触を断つ、必要最低限な事だけを実施できるようにする、というリスクを減らす方針を採用していたと思います。しかしそれでも、今回の事態は防げずにいます。もしこれが、外部サービスが理由で発生した、であれば話は違ったのでしょうが、今回の件は誰しもが利用しているメールを媒介としています。いくらルールを厳しく制定していたとしても、多くの利用者がいる経路を使われたのでは、そのルールが殆ど意味をもたなくなります。
ここまでくると、ルールを厳しく制定してリスクを減らすのではなく、いかに利用者にリスクを認識してもらい、対応できる力を持ってもらうか、そのような方向へと進めるのが、これまでとこれからを考えると必要なのではないか、そう考えられます。
単に厳しく制しているだけではリスクを防げないだけでなく、各々のそれこそ生産性といった点でもデメリットが目立ってきます。今まではそれでよかったのかもしれませんが、これからは更に多くのサービスを利用するのが当然、そのような環境の変化が訪れることになります。そのような時代が来たとしたら、外部との接触を断つ方針そのものが、自社の技術力や生産力を高くすることを阻害するでしょう。リスクを過度に恐れ、何もできないようにしてしまう事は、最終的に自分たちを苦しめることになるのではないでしょうか。
もちろん最低限の対応は必要です。最低限守らなくてはいけないラインというのは、必ず存在します。その最低限のラインを死守することが、定めなくてはいけないルールであり、そのラインはできる限り普段の業務を阻害するものであってはならないのです。今の時代では、それを実現するために多くのソリューションが提供されています。人間的なルールで守るのではなく、システムでそのラインを確保するという姿勢が、私達 IT 業界に携わる人間であれば、目指すべき方向なのではないでしょうか。
IT を提供する企業が、IT を活用できていない今の状態は、決して褒められたものではありません。ルールだけで耐えているような企業が、ユーザーに対して何を提供できるというのでしょうか。
私達が出来ていないことを、ユーザーに求めていくのは何かが間違っている事です。自分たちだけは別ルール、というのは全くもってフェアではありません。自分たちが行えている事を、ユーザーにも提供する事こそが必要なのではないでしょうか。
変わらなくてはいけない、そう言われ続けているこの業界です。もうそろそろ、形としてそれを見せる必要があるのではないでしょうか。そのためにも、今回の件はこれまでの施策が誤っていたと認め、これからのためにも新しい対応を行えるようになる必要があります。そうなっていくためにも、今あるものを常に見直していかなくてはならない、そう私は考えます。
決められたルールが常に正しいとは限りません。時にはそのルールを変えることが、最も次に進むために必要な事も多いのではないでしょうか。
コメント
匿名
> その最低限のラインを死守することが、定めなくてはいけないルールであり、そのラインはできる限り普段の業務を阻害するものであってはならないのです。
本当にそうだと思う。
弊社は基本クラウドサービス禁止なのだが、便利なサービスが使用できなくてフラストレーションがたまります。