社内SEを苦しめるセキュリティのジレンマ | 情シスあるある

今回は情シス部の社内SEが直面するセキュリティ対策という課題について紹介します。

ユーザ企業にとってのセキュリティ

過去、ITベンダのエンジニアであった当時の私にとって、

セキュリティとは顧客の要求事項の1つであり、求められたら対策を提供するもの

という程度の位置づけでいました。

現在、ユーザ企業で社内SEとして働く私は全く違う捉え方をしています。

セキュリティはコストをあげる

ユーザ企業にとって、ITは業務効率化の1手段です。

売上を上げるか、コストを下げるかどちらかの効果が無い(IT)投資などありえません。

ただ、セキュリティ対策はどちらも実現しません。余分な管理をする以上、コストも上がります。ここが全く経営層に理解されません。

悩む女性

セキュリティは誰も幸せにしない

ただ、数字に現れなくても人を幸せにするITはエンドユーザーに歓迎されます。

例えばスマホでメールやスケジュールが見れる機能ですが、効率化を度外視しても導入する企業はあります。

経営層もいちエンドユーザーとして欲しがるからです。

ただセキュリティは従業員を縛り付けるだけです。情シス部員も運用が増えるだけです。
顧客はセキュリティ自体に興味がなく、信頼しているだけです。

経験しないとわからないリスク

結局のところ、セキュリティは業績に寄与せず、誰も幸せにしない分、リスク回避の為にしか存在しません。

本来リスクは「発生確率が高く、影響度が大きい」(下記図3)から対策を打つべきですが、まずは目の前に顕在化してしまった(もはやリスクではなく)課題の対応にしか経営層の興味はありません。

最大の要因は、顕在化していないITリスクを経営層は理解できないからです。
(例:WindowsXPをそのままにしてて、何が問題なの?)

Image by リスク分析のマトリクスで優先順位を(仕事術)マーケ孔明

こんな逆風だらけのなか、社内SEは要求事項としてセキュリティを上げているわけです。

社内SEのセキュリティ対策

では、具体的にどのような対策を行っているのでしょうか?

大きく分けて下記の3点です。

  1. ウィルス・脆弱性の対応
  2. ユーザアカウントのセキュリティ
  3. 管理者自身の監査

それでは個別に紹介します。

ウィルス・脆弱性の対応

セキュリティ対策として最も最初にあげられるのがこちらです。

ただし、ITベンダが思うより、ユーザ企業の対応はザルです。特にサーバに対しては。

クライアントPCはウィルス対策ソフトとWindowsUpdateをやっていますが、サーバは「遅くなるから」とか「何か起こると怖いから触りたくない」といった理由で対策は行われていません。

PCのセキュリティ

アカウントのセキュリティ

ユーザ企業の社内SEでないとなかなか実感がわかないアカウントセキュリティ対策です。

これはメチャメチャ大変です。エンドユーザーがセキュリティについて全く理解が無いからです。

例えば、パスワードポリシーがシステムによってバラバラなので、統一したポリシーを適用する、といった対応を行います。

こうすると、「パスワードを変更してください、って出るんだけど、前と同じパスワードにしたらエラーがでる。なんで?」とか平気で聞いてくるエンドユーザーがいます。

管理者自身の監査

エンドユーザだけではなく、自身の管理者権限についても対策を行います。

内部統制の監査のために、システムに対する変更や特権操作について記録を求められる事があるためです。

システムで監査ログをとっている場合はこれを流用できますが、無いシステムは悲惨です。しかもそういうシステムほどトラブルが頻発して特権を緊急で使いまくってます(笑)

いかがでしたか?
以上が情シスのセキュリティ対策です。