あなたの職場では、USBメモリを「原則禁止」にしていませんか? せっかくセキュリティ・ポリシーを定めて、抜け穴ができてしまっては元も子もありません。現実的に効果を上げるためにはどのような対策が必要でしょうか。
過ぎたるセキュリティは及ばざるがごとし
近年、ノートPCの"ノート"という部分が意味を成さなくなった職場が激増しています。持ち運び可能な形態のハズなのに、まさにその点がセキュリティネックと見なされて、今ではチェーンで机に繋がれた半デスクトップに成り下がっているのです。
PCを持ち出せなくなった結果、家に仕事を持ち帰るという悪い習慣は減りましたが、その分会社にいる時間が増えた人も多いのではないでしょうか。とはいっても、残業を毎日繰り返していればお上の指導を喰らいますから、会社で仕事をする時間にも限界があります。
結果として、資料を印刷したり、USBメモリにデータをコピーして持ち帰るケースが多発するようになりました。企業としては情報漏えいのリスクは避けたいのですが、印刷やUSBメモリを禁止すると本業に悪影響をきたしてしまいます。事実、作業者間のデータの受け渡しをイントラネットに限定した結果、業務の効率が悪化してしまったという話も枚挙に暇がありません。
現場に抜け道ができていませんか?
現在のようにセキュリティが厳しくなった背景には、2006年6月に国会で成立した日本版SOX法「金融商品取引法」と、2003年5月に成立した「個人情報保護法」などがあります。ここでは詳しく述べませんが、「個人情報や業務データなどの漏洩が起きないようにしてね」という制約が生じているのです。
情報漏えいのリスクという点で見ればそれまでの仕事のやり方は問題だらけでしたから、情報の入出力や使い方などを細かくチェックするための新たな仕組みを導入することになりました。ただし、その過程でセキュリティ向上のためのステップを上手く踏めなかった企業も少なくありません。
情報漏えいを防ごうと思えば、業務のやり方を変更したり、効率性の低下に目をつむる必要があります。彼らの現状を把握しないまま施策を実施した結果、上司が承認した場合に限ってUSBメモリの使用を許可するといった例外運用が常態化し、内部統制の思想を根本的に無視したローカルルールがまかり通ってしまった企業は少なくないと思われます。
もちろんセキュリティ対策は重要ですが、むやみやたらと導入すれば良いというものでもありません。厳密なルールを上から強制したところで、それが現場の意識にあっていなければ冒頭のような抜け道が生まれてしまうからです。
この記事は参考になりましたか?
- デキる情シスに学ぶ!ベンダーコントロールの極意連載記事一覧
-
- 「原則禁止」は事故のもと~あなたの職場のセキュリティ対策は大丈夫?
- 徹底した透明化で精鋭ベンダーとの信頼関係を築く~システム提案会に秘められたカブドットコムの...
- 意思疎通のための不断の努力がプロジェクト成功の必須条件~東京海上日動がITベンダー通信簿を...
- この記事の著者
-
吉澤 準特(ヨシザワ ジュントク)
外資系コンサルティングファーム勤務。ビジネスからシステムまで幅広くコンサルティングを行う。専門分野はシステム運用改善をはじめとするインフラ領域だが、クライアントとの折衝経験も多く、ファシリテーションやコーチングにも造詣が深い。まぐまぐにてメールマガジン「IT業界の裏話」を発行中。著書に「最新会議運営...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア