こんにちは。望田和希 (もちだかずき) です。
業務で使うパソコンはセキュリティ対策が十分でないといけません。
ウィルスチェックのソフトが満足に機能していなかったり、USB メモリが自由に抜き差しできて情報を持ち去ることが可能になっているようでは論外です。
セキュリティが満足に担保されていないと、顧客システムのソースコードが外部に持ち出されたりします。
しかし、セキュリティをガチガチに設定してしまえばそれでいいのかというと、話は簡単ではありません。
例えて言うなら、子供の頃に厳格な家庭で育って、TVはNHKしか見せてもらえなかったという状況に近いかもしれません。
民放のバラエティー番組なんて俗悪だからダメだ、って(笑
見せるチャンネルを制限すれば子供が健全に育つという理屈にはなりません。
この記事では職場のパソコン環境のセキュリティについて書いていきます。
セキュリティとは宗教である
世の中のほとんどのものに「絶対」はありません。
絶対に安全な乗り物がないのと同様、絶対に安全な(情報漏洩しない)パソコン環境はありません。
コンピュータウィルスは絶えず新しいものが開発されています。
Windows や MacOS もしょっちゅう修正プログラムが出されます。
USB メモリを持ち込み不可にしても、データの漏洩を絶対になくすことはできません。
だから、セキュリティ設定とは「ここまでやっておけば安全だろう」と信じることから始まる、と私は考えています。
なぜなら、絶対はないのだから。
端的に言えば宗教であると。
その宗教の「レベル」をどこに持っていくのかが、それぞれの会社におけるセキュリティの考え方です。
比較的ゆるめの会社もあれば、ガチガチのがんじがらめにする会社もあります。
キツすぎるセキュリティは業務効率を低下させる
私の今のクライアントもそうですが、端末にシンクライアントを用いて仮想PCで仕事をする会社はセキュリティについてしっかり考えていると言えます。
情報漏洩の良くあるパターンが、ノートパソコンの入ったカバンを電車の網棚などに忘れてしまい、そのパソコンを盗まれるケースです。
盗まれたパソコンに機密情報が保存してあり、それを第三者に入手されてしまってはアウトです。
第三者がそれを入手しなくても、パソコンを紛失したというだけで社内で問題にされます。
それを避けるためにシンクライアントにすれば、端末にデータを残すことはないため、仮にその端末を盗まれてもデータの漏洩はありません。(その端末から仮想PCに入られたらアウトですが、仮想PCの認証がしっかりしていれば大丈夫でしょう)
まぁ、ここまでなら結構な話なのですが……
ネットワークの設定もセキュリティ宗教の一部です。
どこにアクセスしているか監視していて、業務に関係ないとか有害なサイトを閲覧しようとすると、アクセスブロックする設定です。
過去のクライアントでは、「2ちゃんねる」を見ようとしたら、画面にでっかい通行止めの道路標識が表示されました(汗
技術的なことを調べたかったのに。
この場合は判断が難しいですが、ゲームや詐欺サイト、エロサイトにアクセスするなら遮断でいいでしょう。
明らかに仕事に有害だから。
難しいのはそれらの判断がしづらいケースです。上の「2ちゃんねる」はその例ですね。
もっと厄介なのは、仕事で必要なのに遮断されるケースです。
Windows パソコンではなく、Linux サーバが必要な仕事があります。しかし物理サーバは用意してもらえません。そこで社内のクラウド環境に仮想マシンを立ち上げます。
社内のクラウドなので、その会社のセキュリティ設定に従います。
これが困りもので、インターネットアクセスが広範囲に遮断されています。
yum コマンドで特殊なリポジトリを指定して、パッケージをインストールすることができません。
yum が使えないなら RPM パッケージを使いたいのですが、仮想マシンから RPM パッケージをダウンロードすることができません。
wget でソースコードをダウンロードすることができません。
何かツールをインストールしようとしたとき、通常なら yum コマンド一発で済んでしまうのに、あーでもないこーでもないと「逃げ道」を考えないといけない。
セキュリティを重視するあまり、インターネットアクセスを遮断したため、コマンド一発で済んでしまう仕事が何時間もかかってしまう。
これを業務効率への悪影響といわずして何と言おうか。
技術を知らない人がセキュリティ設定をする罪
なんでこんな不都合が起こるのか?
おそらく、ろくに技術的な仕事をしたことがない人がセキュリティ設定の設計をしているのではないかと考える。
yum コマンドで特殊なリポジトリを使った経験があれば、インターネットアクセスの遮断なんてしないと思うのだが。
一方でインターネットアクセスを開放するとセキュリティが甘くなる。甘くなれば情報漏洩のリスクが高まる。
従業員の数が増えてくると、「性善説」に頼るのは難しいだろう。
どこに落とし所を持っていくのか難しい話ですが、仕事にストレスがかかるようなセキュリティ設定は歓迎できません。
皆さんはどう思いますか?
コメント