  |
昨今流行りのNTTの退職エントリの大半において、NTTの評価は
・福利厚生は良い
・人も良い
・待遇も悪くはない
・的外れなセキュリティ対策にガチガチに縛られていて作業効率最悪
という感じなのだが、まさにその通りなので、退職する気はないが、現役社員として実例を示しておく。
私が所属する組織では、ここ数年で情報セキュリティインシデントが多発している。
具体的には、取引先のベンダーA社の情報が、B社に開示されてしまうという情報漏洩だ。
その大半が、弊社の独自システム(以降「システムX」と呼ぶ)上、あるいはその周辺で発生している。
システムXは、弊社と多種多様なジャンルのベンダーが仕様書やソースコード、バグ票やQAコメントのやりとりなどを行うためのプラットフォームなのだが、その歴史は古く、運用開始は2000年代前半。
運用当初から現在に至るまで無秩序な機能の追加や他システムとの統合を繰り返した結果、その全貌を知るものは最早いないのではないかという複雑怪奇なシステムとなっている。
それゆえに情報管理・権限管理の仕組みは非常に難解で、「どうぞヒューマンエラーを引き起こしてください」と言わんばかりの罠が方々に散りばめられている。
「A社宛の起票のつもりだったが、なぜか権限設定に不備があり、B社も閲覧可能になっている」といった具合だ。
さらにシステムXへのユーザアカウント追加/削除や権限設定は、これまた極めて複雑かつ前時代的なエクセルフォーマットに記入してメールで申請しなければならず、この申請方法に起因したヒューマンエラーによる情報漏洩も後を絶たない。
日本語の読み書きとITパスポートレベルの知識があれば、わが組織で発生している情報セキュリティインシデントの癌はシステムXだということがわかるはずだ。
システムXの問題点を洗い出し、別のシステムでの代用を考えるのが筋道であろう。
現に、開発プロジェクト単位でシステムXを使わずにbacklogやJIRAといった権限の管理が容易かつ確実に行えるシステムへの移管が進んでいる。
問題。情報セキュリティインシデントの多発に伴い、社長や直属役員からお叱りを受けた組織長が取った対応策は何か。
もちろん本日記のタイトルからお察しの通り的外れなのだが、その度合いがヤバい。心して聞いてほしい。
・メールやシステム(システムX以外も含む)で社外に添付ファイルを送信する際は、課長職以上の管理職から送ることとする。
・具体的には、係長以下の社員が添付ファイルの所在および送信方法の下書き(メールやチケット)をメールで管理職に送り、管理職が先方に送信する。
・・・え?
システムXが糞過ぎてヒューマンエラー多発してるだけなのに、全てのファイル送信を管理職が送ることで何か解決するの?
というかメール/JIRA/backlog/Redmine etc・・・で日に何十も何百もファイル送信が行われるのに、全部管理職を経由させるの?
ログファイル1件、スクリーンショット1枚送るのに課長にメールで依頼して、対応を待たなきゃいけないの?
働き方改革だ、業務効率化だと言っていたのはどこの誰でしたっけ?
もうね、怒りを通り越して笑いがこみ上げてきたよ。
この対策(笑)が意味を成さないこと、むしろ無駄に人手をかければ更にヒューマンエラーが発生する確率が上がることくらい、ちょっと賢い小学生でも理解できる。
気づいてる管理職も大勢いるはずなのに、誰も異論を唱えず、淡々と部下に"ルール"として周知する。
多くの部下を抱え、毎日大量のファイル送信が必要な管理職は、ノートPCを持ち帰り、帰宅後だろうと年休中だろうと遠隔でファイル送信の対応に追われている。
わが組織に「ボトルネック生成によるヒューマンエラー促進法」が施行されて数日後、めでたく情報セキュリティインシデントが発生した。
具体的な内容と原因については知らされていないが、推して知るべしといったところ。
いっそのこと、ファイルは全部組織長が送信したらどうっすかね?むしろ、社長にしますか?いや、それでも危ないから、全部手渡しにしましょうか?(鼻ホジ)
zipファイルのパスワードを別メールで送ってもセキュリティ強度は上がらないって言ったでしょ。 これうちでもやらされるんだけど上司にすすめやすい代替案なんかある?
「パスワードは御社の代表電話番号です」で送っちゃう
さすがにだまされないよ・・
あらかじめ電話や対面で推測されづらいパスワードを決めておく
名刺の裏にかいてわたすとか? 上司が渡したパスワードなんだったか俺に聞いてきたらどうしよう・・・
PGP公開鍵を事前に送る
8
