配属されたら、知っておきたい情報セキュリティ(3)

呉井嬢次(Johji Kurei) 2007-05-28 16:00:00

 新入社員(または中途社員)が配属されたら、勤務先で色々なシステム障害に遭遇することになる。面倒な事に巻き込まれても、システム障害だからこそ、その経験を糧にして欲しい。

システム障害を学習のチャンスにせよ

 情報セキュリティの社内教育は退屈に感じることが多い。ウイルス、不正アクセス、ウィニーによる個人情報の漏えい−−など、自宅でPCを使っている人にとっては、既知な情報だし、机上のテキスト(紙)で説明されてもピンとこない。ところが配属されると、本人がしっかりしても、色々なシステム障害に巻き込まれやすい。これは自宅より職場のシステム環境の違いによる。

 多く見積もって自宅でPCを10台を所有しても、職場でPCを所有する全社員の台数(例えば100台)と比較すれば、1年間に故障する割合は、職場の方が高くなる(故障しても業務に影響を及ぼさない仕組みができている筈だから、実際には被害は少ない・・・)。このため、社内電子メール、電子掲示版には、、こんな記述をみかける。

 ・XXシステムの動作が不安定なので、12時30分から12時45分まで、代替機への交換のため停止します。

 ・YさんのPCは故障したので、急ぎの連絡はEメールでなく、携帯(または携帯メール)にお願いします。

 ・X月Y日22時〜24時までZZサーバを定期保守のため、ダウンします。

 このような連絡(通達)文書は、情報セキュリティを学ぶ絶好のチャンスになる。緊急性を伝え、かつ、簡潔な文、そして、連絡先が書かれている。具体的な原因が書かれていなくても、障害が終わってから聞こえてくる。

 ・ソフト交換時の検証不十分によるテスト漏れ
 ・Yさんが鞄に資料を押し込んで、液晶を割った
 ・またZZサーバーの電源故障だよ、今年で3度目

 最初は、原因不明でも、PCやデータの取り扱いに関するセキュリティ知識レベルを挙げることができる。

航空システムのトラブルが意味するもの

 最近、航空システムのセキュリティトラブルが引き起こす顧客への影響(チケット未発行、飛行機の欠航)が起きている。会社は、サービスを中断させないために、色々なセキュリティ対策を行っている。しかし、大きな事故が発生してしまうのは、何故か。

 結論から言えば、危機管理組織と情報セキュリティ組織が異なることだ。危機管理組織は昭和の頃からハイジャックを想定し、今の国土交通省など厳しい危機管理が行われている。これに対して、情報システムに対しては、別の情報セキュリティ組織が存在し、事業継続が早期に普及しなかったため、トラブルが起きてしまったのである。

 情報システムに対しては、セキュリティ監査に相当する内部監査を定期的に実施している。しかし、複数のシステムから情報が連携して流れる航空システムでは、個々のバックアップなどの事業継続訓練は行っていたが、全体にわたる訓練を実施していなかった。このため、どこかのシステムで遅延・停止が発生すると、全体に被害が及び、最終的には顧客が巻き込まれた、というわけだ。

 航空システムのトラブルには、既に原因解明が進んでおり、システム交換というオチで片付くと思われる。しかし、システム全体を通してサービスを継続試験を行わない限り、事故は再発するだろう。私だったら、危機管理組織と情報セキュリティ組織を別々にせず、ハイジャックなどのテロ行為、システム障害による脅威を同じレベルでリスク分析を行い、報告書はウェブに公表して顧客の信頼確保に努めるだろう。

助っ人のシステム障害対応も教訓に

 システム障害の規模が大きくなると、もはやIT部門では人手が足りなくなる。そんなとき、新入社員が「助っ人」として呼ばれることが多い。多くの場合、専門能力を要求されることはなく、社内連絡窓口、機器の荷物運び、顧客のクレーム対応となる。体力勝負の仕事なわけだが、システム障害時の経験は貴重だ。

 ・機器の名前、運び込む場所(セキュリティ区画の入り口前かもしれない)
 ・顧客は何を求めているのか

 システム障害の対応は、本来の仕事ではないので、要領のいい社員は、適用に理由をつけて逃げてしまいがちだが、稀に遭遇するトラブルこそ、進んで対応するのが良い。ただし、大地震は別だ、唯一の例外として挙げておこう。

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つ
    プレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!

  • 【3/31まで早期割引受付中!】「IBM Watson Summit 2017」開催

    日本IBMが主催する最大の国内総合イベント。テクノロジー・リーダーの疑問を紐解く「企業IT、セキュリティー、モバイル、データ解析などの進化を探る」詳細はこちらから!