そういう事で言うと、ここ数日賑わしているny騒動との絡みで、企業における情報資産(データであったり、ノートPCであったり)の扱い方に関する論議がアチコチのセキュリティ系blogで書かれていたりする訳ですが……「ノートPCやデータの持ち帰りによる情報漏えいの防ぎ方」で読むと、大別して2つの方向に意見が集約されるのかと……。
持ち帰らせない方向。
そもそも持ち帰る事自体がイケナイ、仕事は会社の中でシロ、持ち帰りなんて論外じゃ!!
持ち帰っても、安全に利用できる方向。
そうは言っても持ち帰るヤツはいるんだから、例え持ち帰っても大丈夫なようにするのが先なんじゃないのか?
個人的には、どちらも「うーん……」という感じ。物事の側面を一方からしか見ていないように思えてならないのですヨ。
一言で「情報システムを利用する」と言っても、組織や立場によっては「利用の性質・方向性」がガラリと変わってしまう事、そして「会社」というモノは、そういった立場が異なる人の集団によって構成されている事が、企業におけるセキュリティ対策を難しくしているのではないかと思えてならないのです。
例えば「営業」「事務」「開発(情シス部門含む)」と軽く分けただけでも、これだけ利用スタイルが異なります。
---
営業の場合。
基本的にデスクにいるより「会社の外」にいる時間の方が多い。下手すりゃ「直行・直帰」当たり前?
仕事するにはモバイル環境(ノートPC+ワイヤレス通信)は欠かせない。
会社によっては自分専用のデスクなんてモノが営業には与えられない(フリーデスク制な)処も。
事務の場合。
業務アプリを除けば、基本的にはOffice系ソフトとメール・Webが出来れば十分?
ノートPCである必要は薄く、寧ろ画面が広く作業しやすいデスクトップPCの方がベター?
9時5時勤務が基本なので、余程の事が無ければ残業も持ち帰りの仕事も無い?
開発の場合。
机仕事は事務と同じだけど、検証作業等でどうしてもアプリのインストール・アンインストールが頻繁になるので、Local Admin権限は必須。
最近は有益な情報がネット上に転がっているケースも多いので、事務以上にWebを利用する機会は多い?
9時5時勤務は夢のまた夢、残業・仕事の持ち帰り上等。
---
こんな環境で、さてセキュリティ対策をしようと言った場合……
最大公約数的な要素から対策する。
何処か1つの立場をモデルにして、そのモデルでの対策を他のモデルに広げる。(例:今回の場合「営業」から漏れる可能性が高いため、まずは「営業」に対する対策から。その対策を「事務」「開発」に広げるというケース。)
……などの方向性が考えられますが、前者の場合、当然「最大公約数」ですから、個々に見るとまだまだ穴だらけ、後者は確かに1つのケースでは完璧かもしれないですが、他のケースではオーバースペックになってしまい、可用性……と言うか利便性に影響を与えてしまう、という結果になってしまう可能性があると考えられる訳です。
今回のny騒動に絡む「ノートPCやデータの持ち帰りによる情報漏えい」についても、単に「ノートPCやデータ等の持ち帰りが悪い」とか「まずは持ち帰っても大丈夫」だけで論議を終始させていては、勿体無いかなぁ……と。
まぁ、所詮「戯言」なんですけれど(苦笑)。
そもそも持ち帰る事自体がイケナイ、仕事は会社の中でシロ、持ち帰りなんて論外じゃ!!
そうは言っても持ち帰るヤツはいるんだから、例え持ち帰っても大丈夫なようにするのが先なんじゃないのか?
個人的には、どちらも「うーん……」という感じ。物事の側面を一方からしか見ていないように思えてならないのですヨ。
一言で「情報システムを利用する」と言っても、組織や立場によっては「利用の性質・方向性」がガラリと変わってしまう事、そして「会社」というモノは、そういった立場が異なる人の集団によって構成されている事が、企業におけるセキュリティ対策を難しくしているのではないかと思えてならないのです。
例えば「営業」「事務」「開発(情シス部門含む)」と軽く分けただけでも、これだけ利用スタイルが異なります。
---
基本的にデスクにいるより「会社の外」にいる時間の方が多い。下手すりゃ「直行・直帰」当たり前?
仕事するにはモバイル環境(ノートPC+ワイヤレス通信)は欠かせない。
会社によっては自分専用のデスクなんてモノが営業には与えられない(フリーデスク制な)処も。
業務アプリを除けば、基本的にはOffice系ソフトとメール・Webが出来れば十分?
ノートPCである必要は薄く、寧ろ画面が広く作業しやすいデスクトップPCの方がベター?
9時5時勤務が基本なので、余程の事が無ければ残業も持ち帰りの仕事も無い?
机仕事は事務と同じだけど、検証作業等でどうしてもアプリのインストール・アンインストールが頻繁になるので、Local Admin権限は必須。
最近は有益な情報がネット上に転がっているケースも多いので、事務以上にWebを利用する機会は多い?
9時5時勤務は夢のまた夢、残業・仕事の持ち帰り上等。
---
こんな環境で、さてセキュリティ対策をしようと言った場合……
……などの方向性が考えられますが、前者の場合、当然「最大公約数」ですから、個々に見るとまだまだ穴だらけ、後者は確かに1つのケースでは完璧かもしれないですが、他のケースではオーバースペックになってしまい、可用性……と言うか利便性に影響を与えてしまう、という結果になってしまう可能性があると考えられる訳です。
今回のny騒動に絡む「ノートPCやデータの持ち帰りによる情報漏えい」についても、単に「ノートPCやデータ等の持ち帰りが悪い」とか「まずは持ち帰っても大丈夫」だけで論議を終始させていては、勿体無いかなぁ……と。
まぁ、所詮「戯言」なんですけれど(苦笑)。
「この時代に(しかも開発系で)それってアリですか?」みたいな、みたいな・・・。
とは言え大企業ならともかく、国内の大半を占める中小企業の場合、予算の少なさから止むを得ず持ち込みPCを認めざるを得ない処もまだまだ多いのも事実だったりします。
(最近は大分PCも安くなりましたが、それでも十分に予算が付けられない処や、減価償却の関係から無駄な買い物をしたくない処も多いですし。)
更に問題なのは、IT化予算の内、セキュリティに費やせる費用はもっと少ない(確か以前N+I Network Magazineで載っていた記事(結構古いですが)だと、IT化予算の1/10位がセキュリティに費やせる予算だとか……)事だったりします(中小企業だと1/10も無いかも……)。
この辺のお話も何処かのタイミングで書いてみたいとは思います。