2015-10-03

まだセキュリティインシデント対策で消耗してるの?

自分IT 業界人間なんだけど、ある時期以降日常業務におけるセキュリティに関する対応が増えていて、(たぶん、どこもそうなんだろうけど)それについてモヤモヤしてることを吐き出しておきたい。


末端で働く側から見ると、セキュリティインシデント対策/予防のメインは「末端に対する注意喚起教育」に見えるんだよね。

「常に気を付けろ!」「セキュリティ意識高めろ!」みたいな精神論に終始しているように見える。

あげく「セキュリティ事故があったらたいへんなんだぞ!」みたいなビデオだの見せられた日には「精神論の次は脅しかー」と思う。

ついでに誓約書まで書かされたりして、マイルドパワハラとでも呼びたいぐらいだ。そのうち血判状とか言い出しかねない。



これって、末端に対するしわ寄せだよなあ。と思うわけです。

「何かあったら意識が低いお前が悪いんだからな!」とでも言わんばかり。業務は組織としてやってることなのに、問題があったらいきなり個人の資質にその原因を求めんのかよ?と思うわけ。



現場はあれこれのデータを扱ったり持ち出したりせざるを得ない状況があるわけで(そんなのおれたちだって望んでいない)、どんなに気を付けて意識高く持っていてもゼロリスクはあり得ないし事故は起こる。



実際のところ、組織はそれなりにいろいろやってるとは思う(てか思いたい)。

例えば下位レイヤーから上位レイヤーに向かってこんな感じ?。

・(下位)現場への注意喚起教育

・(中位)インシデントを防ぐ仕組みを導入

・(上位)インシデントの損害をあらかじめ折り込む

下位についてはそのまま。中位については、アクセス権の管理や、認証技術の導入、ワークスペースゾーニングとかかな。上位については、食べ物屋さんの廃棄率とか工場の歩留まり率みたいな話。



そうした取り組みって末端の現場にはあまり説明されていなくて、精神論キーキー押し付けられてるようにしか見えないんだよね。(仕組みは変わったら嫌でもわかるけど。)

加えてモヤモヤするのは、インシデント対策として業務プロセスが変わって、業務コストが上がってるのに、その分のコスト増はプロセス上は無視されて、ウヤムヤのうちに現場押し付けられてるケースが多いこと。

今までオフィスでやってた仕事が、インシデント予防のため特定ロケーションしか行えないことになって、片道1時間の移動コストがかかりますと。でも、そのコストはどっからも補てんされない。みたいな話はよく見るわけで。仕方ないのでそれを案件コストに乗せると、「コスト減らせ!」みたいなメールが飛んでくる。そらみんな鬱にもなりますわ。



なんか、話が飛び飛びになってるけど。。何が言いたいかって言うと、「どう分析して何をやってるのか、ちゃんと説明すれば?」ってこと。

現場への注意喚起教育だけじゃ「また上が現場の事もわから勝手なこと言ってるぜ。クソが。」としか思われないってこと。




以下蛇足

末端の人間で、「セキュリティ事故の原因は個人の意識問題だと思いマース。」みたいなこと言う人って、明日は我が身なのを想像できないのかね。。自分自分の首絞めてるってゆーか。上からのウケが良いからそう言ってる部分もあるだろうけど。



----

おれはセキュリティ方面素人なので、話がユルユルなのは許してほしい。専門家突っ込みはウェルカム専門家以外でも。


ちょっと追記。コストの話を書き忘れた。一番大事なのに。

記事への反応(ブックマークコメント)

ログイン ユーザー登録
ようこそ ゲスト さん