FC2ブログ
  1. 無料アクセス解析

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

【世迷言】IT業界の職場での「セキュリティ」

情報漏洩と言えば一昔前は個人情報の漏洩が問題でしたが
今はどちらかと言うと
富豪や政治家のスキャンダラスな情報がばれる
とかいう方が印象に強いでしょうか。

私みたいな
ゲーム会社とか証券会社とか
先端技術のベンチャーとか
そういうキラキラして、いない方のIT業界で働いていると、

後者の方は縁のないことです。
いまだに職場では
「標的型メールに気を付けましょう」とか
「怪しいサイトにアクセスしないようにしましょう」とか
そういう程度の注意喚起がやかましいです。

ハイテクなアレコレでウィルスもスパイウェアもばっちりはじく!
なんてことはそういう役割の一握りの人がやってるだけで
恐らくIT従事者の90%はそんな防御魔法使えもしません。

毎日情報技術を扱っている仕事ですから
従業員一人一人がさぞリテラシ高いとか思うかもしれませんが
そんなことはございません。
むしろ危険物を意識低く扱っているのですから
同じく意識低い同士でも危険物を扱っていない人に比べて
リスクが高いばかり。

てな、前置きはここまでにしといて。


先日同じフロアの誰かが
入館証(所謂職場に入るカードキーですね)を紛失しました。
IT業界で働いていると一番よくみる+騒ぎになるセキュリティ事故ですね。


これやると、何一つとして法に触れていないのに、現場は大騒ぎになります。
一応「鍵」扱いのものだからわからないでもないのですが
これが原因で現場をクビになったりします。

カードを紛失したからと言って
ただのものの遺失ですから犯罪でもなければ
即座に何らかの情報が漏洩したりもしません。

ではなんで大問題になるかと言うと
実際には
ただの「会社同士の信用問題」でしかありません。

働いてる会社が社会的信用を失うとかそういうのではなくて
働いてる会社からそこに働きに来ている派遣会社への信用です。

例えば
A社はビジネスを円滑に進めるために
社内システムを刷新しようとしています。
でもA社は自分たちだけでシステム開発する程パワーがないので
B社にエンジニアを派遣してもらってシステム開発をします。
A社に出入りするためにB社の人にその「カードキー」を渡して
A社内でB社の人間がシステム開発をするわけです。
このB社の人間が、いわゆる情報サービス従事者であって、
その「A社に入るカードキー」をなくして問題を起こすのはB社の人間です。
そのカードキーを駅で拾った人がいたとして
それを使って中に入って来る可能性がないとは言いませんが
どこのビルの何回のどの部屋に入るためのカギなのか、
なんてわかりはしません。

A社としては、
カードを落としたとわかれば
クレジットカードやキャッシュカードのように
すぐにキーを止めればばそれで済む話なのですが。



さて、ここまで書けば
カードを落として問題になるのは
A社が姿勢からの信用を失うからではなく、
B社がクライアントであるA社からの信用を失うから
という側面の方が強いのが分かると思います。

情報セキュリティにかかわる問題にしては
論点がずれているんですね。変です。


更に付け足すなら
B社の人間がなぜカードを落とすのかと言うと

そうして他社の社屋内でシステム開発をする職業の人は
基本的に1年に満たない短いスパンで
あっちこっちの職場を転々とします。
情報サービス業の会社のほとんどはそうゆう業態で
ながながと同じ現場にいることはほとんどありません。

だから職場はは変わる、持たされるカードも変わる
通勤経路も変わる、労働環境も変わる、
自社への帰属意識も育たないし
かといって出向先の人間とは一線を画されてよそ者扱いは消えない。
ずっとそんな感じです。
ずっとそんな感じの働き方をしている人がほとんどなのです。

「職場からはどこにもよらずまっすぐに帰れ」なんて
開いた口が閉まらないような告知がされたりもします。
小学生かよ。
こんなもん持たせておくから悪いんだろうに
そのためにアフターの行動まで拘束されるのか。
現実的じゃないんですよね、腑に落ちるわけもないし。


なのでセキュリティ意識なんてそもそも上がるはずがない。



カードなんて、
落とすようなものに重要な意味を持たせて
落とせば落とした人間のせいにはするが
実際に
「じゃあ落としたりしないように生体認証にするよ」
って会社はそう多くありません。
実は先のA社にあたるような会社で
そこまでのセキュリティ意識があり、
それを実行に移す会社は多くないんですよね。

もしカード紛失を本当にセキュリティインシデントとして重大視しているなら
指紋でも声紋でも虹彩でも何でも
「落とすはずのないもの」に切り替えるはずです。
でもそれをしない。

責任を他社の人間に押し付けているのが実態なんですよね。


これは
情報サービス業が
「派遣に派遣に、あと派遣、たまには多重派遣すれすれのこともする」
なんて業態が原因の根底にあるわけです。
会社の責任も、業態の腐れも、全部従業員の肩にのっかってきてる。
それが実態です。




カードを紛失した件とは別に
標的型メールの抜き打ち試験に引っかかっちゃった人もいます。
此れは試験なので問題にはなっていないのですが
「じゃあどうやって回避できたのか?」
という問題が出てくるわけですが……

・URLへ誘導する
・添付ファイルを開かせる
まあありていに言えばこんなもんですが。


先のA社みたいなのをまた例に出すと
A社社内ではメールが飛び交っています。
A社の人が直々にどこかの(安全な)URLを開かせるようなメールも普通に飛んでいます。

メールの差出人が聞き覚えのない人だったら注意
URLのアドレスが会社に関係のないドメインだったら注意
メール差出人の所属が実際には存在しない部署とかだったら注意

とか言われるんですけど
どのケースも、
その会社の人間じゃないとはっきり言ってわかりません。
先にも書いた通りB社の人が主人公です。
A社の組織なんかわかりゃしないし聞いたことのない人だらけだし
A社のイントラのドメインなんか知ったこっちゃないわけです。

メールの文面が変だったら注意
ってのも聞きますが
まあIT業界のひとって日本語あんま上手じゃない人いっぱいいるんで
普段から変な文面のメール飛びまくってます。

というわけではっきり言って
「運が悪いと踏む」。


かといって社内のコミュニケーションツールを
外部と接続されたメールから
何か別のものに切り替えたりということもしません。
本当に根絶するつもりならA社が社を上げて物理的な手段を講じるわけですが
それはしない。

結局その程度のものなんですよね。


セキュリティ意識なんて上がるわけがありません。
ほぼ、他社に出ずっぱりな派遣まみれの業態のせいです。


いまや携帯電話にだって指紋認証がついてて
フリーのメールクライアントにだって学習型のフィルタがあるのに
本当の主体がなすべきことをなさずに責任を下に投げているだけ。


認識されていながらきっと放置され続けるのでしょう。


その程度のものなんですよ、きっと。くだらない。







ちなみに私は毎日、
カードを鞄にカラビナで結束させています。

そうまでしてる人はあんまりいないようですが
「鞄ごと落としたらどうすんの?」って茶化されたりもします。
鞄ごとなくなったら
もう運命だと思ってあきらめよとおもってます。

そうなったって、
前述のこと全部認識していて
自分が反省するとは思えませんしね。
会社が悪い、っていうと思います。

そうでしょう?

この記事へのコメント

コメントをお寄せ下さい

(コメント編集・削除に必要)
(管理者にだけ表示を許可する)

トラックバック

この記事のトラックバックURL
http://monostation.blog112.fc2.com/tb.php/2579-6f9a0445

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。