« 人がしていない事に価値を見出す | トップページ | 東京最終日 »

2006/06/01

情報セキュリティの実情

会社からある書類に署名して、返信するようにという連絡がきました。

その書類の内容を要約すると、
「業務関連の情報は個人のPCに入れたり、持ち出し可能な媒体に保存してはいけない(メールを含む)」
とのことでした。

現在研修中で、出向先のメールサーバーにアクセスできないから個人のメールアドレスへ転送するように設定をしていて、この連絡を出先でメールにて受け取りました。しかし内容が内容だったので、メールを受信しても個人のメールアドレスから会社に業務関連のメールを送るのはセキュリティポリシー違反になるので、受信直後にこのメールを消しました。

すると昨日、署名の未提出者に対する督促メールが再度流れてきました。それによると「6/1までに提出する事」ということだそうです。僕にはできない相談なので、電話で確認を取ってみました。その結果は、「個人のメールアドレスでも構わないから返信するように」ということでした。
署名する部分にはもう一つ欄があって「業務に関する情報はこれまで一切保存していない」というのと「既に消去済み」との2者択一の回答欄がありました。

どうすればいいの?どうして欲しいの?
「セキュリティポリシーを遵守します」という署名を集めるためにセキュリティポリシー違反を指示するのってどういうことなの?

ちなみに、以前セキュリティポリシーの内容を聞いたら、「社外秘なので出向中の人に開示する事はできない」と言われました。「内容は教えないけど文書には署名をしなさい。署名を送付するためなら、文書に違反してもかまわない。」って本末転倒どころか、何のためにこんな事をしているのか全然理解してない事を曝け出しているだけなのに、全く悪びれる様子もない。こんな事言う人は「何が問題視されているか」ということも全然理解していないのだと感じずにはいられません。

個人情報保護法が制定された年の前後で、今から2、3年前を境に色々と取りざたされる事が多いセキュリティの問題だけど、この時から今まで全く成長していない我が社の担当者に「呆れる」以外の言葉が見つかりません。
これでは、どれほど会社の上層が用心したって、足下から瓦解するのが目に浮かぶようです。

大切なのは「制度」より「教育」です。「制度」は遵守されるという大前提が成り立つ環境でしか効果がなく、「制度」の内容どころか目的すら理解していない人にそれを遵守させるなんてできないのは誰でもわかることですよね。
それとも、教育には時間がかかるからとりあえず制度作りを進めようとでも考えているのでしょうか。そして、制度さえ作ってしまえば、問題が起きてもそれを盾に何とでも個人を攻撃できるという裏があるのでしょうか。
でも、それって誰にとっても意味がないように思えて仕方がありません。

従業員の労働時間を使いながら個人攻撃の材料を作っても、結局問題は発生して会社は損害を被る上に問題の原因を作った従業員の給料は減らされる。...あ、マスメディアが喜びますね。

セキュリティには「問題の発生を事前に防ぐ手だてを検討し、問題発生時の適切な対応を計画する事」という意味があるような気がするのですが、会社の人達はどういう事だと考えているのでしょうか。

色々と情報漏洩の原因が騒がれ、あるソフトウェアがやり玉にあがったりしていますが、一番問題なのは「危険」を認識せずに「仮対策」で安心して危険な行為を続けている人ですよね。

一般道を時速200kmで走ったら危ないのは誰でもわかりますが、これは自動車学校や雑誌、TVなどで繰り返し事故の恐ろしさを学んでいるからに他ありません。車の免許も無く、レース中継ばかり見ているような人がいれば、それを危険だとはきちんと認識できないかもしれません。
パソコン初心者が見るからに怪しいパソコン雑誌を読み、初心者を脱出した気になってファイル交換ソフトに手を出すというのは、この暴走君と何も変わらない。

時間がかかってもきちんと教育して下さい。

ちなみに、会社のサーバー上に「ウィニーに関する注意事項」が公開されていて、「必読の事」という注意書きと共に連絡が来ていますが、外部からこのサーバーにアクセスすることはできません。「アクセスできないのですが...」と連絡をしておいたのですが、何の回答も無いのでどうでもいいと思っているのかと考えていたのに、先日未読者に対し督促が来ていました。もちろん、僕のところにも...
おかしいと思わないのかな?それとも何か深意があるのかな?きっと何も考えて無いに違いない。

|

« 人がしていない事に価値を見出す | トップページ | 東京最終日 »

コメント

以前メール転送の解除関連で情報管理の部署に「出張が多いから自費で会社のサーバーにアクセスせざるを得ない。あんたらから与えられたメールを使うためになんで自腹きらなあかんの。いっそのことメールアドレス抹消するよう上司に頼みますわ」(意訳)と意見したら、それ以降ノーレスポンス。
結局現在はメール転送は解除していて、出先で見れないのは会社のせいだ、ということにしています。社用のPCや記憶媒体も持っていく気はもう無いです。報告書もカーボン用紙使って手書き。これ最強。

投稿: からさわ | 2006/06/03 12:45

からさわさん、コメントありがとうございます。
本当に責任逃れが横行してますよね。僕も問い合わせをしても、無視されるばかりで困っています。

OEの設定方法を通知して来た時に、「OEはセキュリティーの問題が多いから、他のメーラーを使いたいのですが...」と言うと「OEを使うように会社で決まっていますからセキュリティーポリシー違反になります」と言われた時にはちょっと驚き、「きむらさんは何を使ってるんですか?」と聞かれたから「Thunderbirdです」って答えると「それは何ですか?」と聞き返された時にはそのまま電話を切りたくなりました。

彼らにとって、知らないことは恥でも何でも無いようです。確かにある時点で知らない事は恥では無いかもしれません。しかし、自分の仕事に関する情報を集めようともせず、知らないまま放置するというのは恥以外の何ものでもないと思わずにはいられません。

投稿: きむらしのぶ | 2006/06/04 06:17

僕も本社に行ってから中枢の状態に幻滅して辞めた口ですので、おっしゃりたいことは非常によくわかります。一種の老害です。

投稿: K2nd | 2006/06/05 12:32

K2ndさん、コメントありがとうございます。
大きな企業になれば仕事の流れがどんどん掴みづらくなるから、「何の為にこの仕事をしているのか」という至って単純な質問に答えられない人が多いような気がします。
「やりがいのない仕事をただ言われた通りにこなしていると給料がもらえる」と考えている人達が就職しているのだから仕方ないとは思いますが、「今の仕事が嫌でも他にしたい事も無い」という人が多いのには辟易させられますよね。

投稿: きむらしのぶ | 2006/06/06 05:31

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/79953/10340256

この記事へのトラックバック一覧です: 情報セキュリティの実情:

« 人がしていない事に価値を見出す | トップページ | 東京最終日 »