以前実施したひとり情シス覆面座談会の蔵出し企画。4回にわたってひとり情シスの経験談を紹介しています。今回はひとり情シスがトラブルの歴史から学んだことについて議論します。今、情報を必要としているひとり情シスの方のお役に少しでも立てれば幸いです。
- スーパーネオ主任:ITリテラシーが極めて高く、社長に進言できる近い存在で、全社の経営戦略にも意見を求められる参謀格。スーパー(超越)でネオ(新しい)なひとり情シス
- 旧情シス係長:段階的に情報システム部門の規模が縮小して、最終的に現在の人員の一人になった。元々は、COBOLのプログラマー
- 初めて情シス君:ひとり情シスで運営していた担当者の定年退職を受けて、後任者となった。2年間にわたる引き継ぎ期間の最中
- スタック先輩:約20年にわたって派遣型常駐エンジニアを続け、その後、中堅企業の情報システム部門のひとり情シスに転身。フルスタックエンジニアとして現場の第一線で働き続けることが信条
清水:I皆さん、これまでにさまざまなトラブルに直面した経験があると思いますが、過去にどのようなものがありましたか。
スタック先輩I私が経験したトラブルは、PCの紛失関連です。このときは、最後までPCを回収できませんでした。ユーザビリティーを優先してデータの暗号化をしていなかったため、紛失を想定した対策としてシンクライアント端末への切り替えを検討しました。しかし、大規模な投資が必要であることや、ローカルデータが必要な場合に対応できないことなどが懸念材料となっています。たった一度の紛失ではありますが、再発を考慮して紛失を想定した対策を現在検討中です。
スーパー主任I私も、最も脅威なのがPCの紛失だと思います。弊社では暗号化しているため、データが外部に漏れる可能性は低いと考えられます。しかし、紛失するとなす術がなく、手の打ちようがなくなってしまうので、やはり回避したいトラブルです。また、社員のウイルスに対するセキュリティ防御の経験値を高める取り組みなどもしております。その一環として、ランサムウェアを意識してもらうため、意図的にトラップメールを送ったりしています。
清水:Iそこまでしているのですね。一見過激な施策にも感じましたが、一時的にでもセキュリティへの意識を高めるのには、確かに効果的かもしれません。
旧情シス係長I弊社では、飲みに行って会社支給の端末を紛失する事件が後を絶たないという経緯から、PCの社外持ち出しを禁止しています。
初めて情シス君I弊社は、セキュリティ認識がとても甘いです。もし悪意のある第三者の手に紛失したPCが渡ったら、HDDを抜かれて一発アウトというほどです。暗号化はユーザーが嫌がるのでしていないですが、非常に危険な状態なので今後の課題にしています。
スタック先輩I原則としては、情報システム部門が24時間体制で対応することになっています。現在はさまざまなトラブルにもリモートで対応できるように環境を整えているため、従来と比べると、夜間や休日の作業が大変楽になりました。しかし、ハードウェア障害はリモートではどうしても対応できません。ビルメンテナンスが入って停電するような場合、現場に拘束されるのはやむを得ません。最近はだいぶ減りましたが、やはり最も重いトラブルはハードウェア障害です。
旧情シス係長Iマルウェアがかなり拡散しており、どうにか対策を講じるべく取り組んでいますが、なかなか苦戦しています。業務上容量の大きいデータを扱うので、ユーザー部門がオンラインストレージを使用しています。しかし、作業中にマルウェアを拾ってしまうリスクが考えられ、根源を特定できないことに大変苦労しています。
清水:I確かに、中堅企業のクライアントからはセキュリティ関連のインシデントが多いという話をうかがうことが、最近では特に多いです。
スーパー主任I中堅企業では、最新のセキュリティ施策にアップデートしたくても、費用対効果の観点からなかなか判断しかねる場合が多々あります。
スタック先輩Iセキュリティ認識を高めるための啓発活動として、重要だと思われるセキュリティセミナーに管理部門の部長クラスに参加してもらうことがあります。セミナーへの参加は危機感を抱かせるのに意外にも効果的で、セミナー受講の結果、他部門の幹部が社長に進言をしてくれることもあるほどです。
スーパー主任I弊社の社員は比較的意識が高いです。社内ガバナンスの規則から見ても、きちんとした管理体制が取れている方だと感じています。例を挙げると、USBメモリーもパスワードでロックして管理しています。また、スパムメールでフィッシングサイトに誘導するといった外部からの攻撃もしっかりと防御できています。しかし、このように施策を講じている一方で対策ができていないのが、メールの誤送信などの人為的ミスによるトラブルです。この問題をどうにか解決できないかと苦慮しています。
旧情シス係長I月次でセキュリティパッチを当ててプログラムに問題がないかしっかり対策していたのですが、再起動したら突然PCが立ち上がらなくなり、何度試してもシャットダウンしてしまうというトラブルがありました。ログを見ても分からず、ベンダーに問い合わせても、実例がないために原因を特定できないと返答されるなど、大変苦労しました。
自力で一から検討していく中で、やっと干渉しているドライバーを発見して解決できました。一応メーカー担当者にも報告したところ、1カ月ほど経ってメーカーのウェブページに自力でたどり着いた情報がトラブルシューティングとして掲載されていたことがあります。コストの高い保守契約を締結していればトラブル対応にもっと積極的なアプローチができ、早期解決ができていたように思えます。
これを踏まえると、常時からセキュリティ対策に十分なコストを充てられないために万全な対策を講じられないことが、トラブルを長引かせる結果を招いたと言えるかもしれません。
スタック先輩I弊社では、サーバーの一部に残っていた古い設定が原因で、クライアントのクレジットカード情報が外部に流出した事例があります。顧客からクレジットカード会社にさまざまな問い合わせがきました。弊社が情報漏えいの根源ではないかという状況確認の電話が殺到しましたが、社内では状況把握さえままなりませんでした。
事故に対する処理プロセスが不明確だったことで、事故後の対応は混乱状態となりました。急きょ、フォレンジック調査を実施して対応しましたが、調査にかかったコストだけで1000万円近くに上りました。対応策にかかったコストも合わせると支出に甚大な影響を及ぼしたものです。
清水:Iセキュリティ事故の被害に遭われたクライアントは非常に多く、そして、当然ながら事故に遭ったクライアントほどセキュリティ対策への投資が増加しています。事故後に対応する場合、事前の対策よりも大規模の支出になるだけでなく、その後の対応にも費用が必要になるためです。
ところが、セキュリティ事故の被害を他人事として捉えているケースは少なくありません。現状の対策で特に問題がないと考えているクライアントは実に過半数以上に上り、セキュリティ事故における危機感の低さが見受けられます。今後は、クライアントが事前により良い意思決定ができるように、クライアントに向けてセキュリティ事故に関わる情報をより一層収集、提示していきたいと考えております。
- 清水博(しみず・ひろし)
- ひとり情シス・ワーキンググループ 座長
- 早稲田大学、オクラホマ市大学でMBA(経営学修士)修了。横河ヒューレット・パッカード入社後、日本ヒューレット・パッカードに約20年間在籍し、国内と海外(シンガポール、タイ、フランス)におけるセールス&マーケティング業務に携わり、米ヒューレット・パッカード・アジア太平洋本部のディレクターを歴任、ビジネスPC事業本部長。2015年にデルに入社。上席執行役員。パートナーの立ち上げに関わるマーケティングを手掛けた後、日本法人として全社のマーケティングを統括。中堅企業をターゲットにしたビジネスを倍増させ世界トップの部門となる。アジア太平洋地区管理職でトップ1%のエクセレンスリーダーに選出される。2020年独立。『ひとり情シス』(東洋経済新報社)の著書のほか、ひとり情シス、デジタルトランスフォーメーション関連記事の連載多数。