座談会 情シスのホンネ (3) ~ セキュリティ関連の悩み | ScanNetSecurity
2024.04.29(月)

座談会 情シスのホンネ (3) ~ セキュリティ関連の悩み

情報システム部門の担当者「情シス」による座談会の第3回。今回は社員の教育というテーマから、いつしか個人情報保護の話題へ。

特集 特集
facebookLINE
PR
【覆面座談会@情シスのホンネ(Vol.3)】みんな、理解して! ITインフラやセキュリティはこんなに重要
【覆面座談会@情シスのホンネ(Vol.3)】みんな、理解して! ITインフラやセキュリティはこんなに重要 全 2 枚 拡大写真
 情報システム部門の担当者「情シス」による座談会の第3回。今回は社員の教育というテーマから、いつしか個人情報保護の話題へ。

《目次》
【Vol.1】便利屋!? 最下層!? どこまでが情シスの仕事なの?
【Vol.2】思い出しただけでゾッとする!今だから話せる失敗談
【Vol.3】みんな、理解して! ITインフラやセキュリティはこんなに重要
【Vol.4】情シスに求められる人物像やスキルとは?

●参加者4名のおさらい
・Aさん:ウェブコンテンツの製作会社(従業員約150人)に勤務。30代後半の男性
・Bさん:ソフトウェア開発会社(同約40人)に勤務。40代後半の男性
・Cさん:ゲーム製作会社(同約150人)に勤務。30代後半の男性
・Dさん:IT系ベンチャー(同約30人)で情シスと執行役員を兼務。30代後半の男性

■悩ましい! 社員にITインフラを理解してもらうためには?

[Cさん]例えばFTPのプロトコルそのものに脆弱性があることを、なかなか理解してもらえない。従業員に教育してもきりがない、ということが多々あります。

[編集部]情シスは、どこまで社員に教育しなければいけないんでしょう。

[Aさん]会社の経営者は、セキュリティの決まり事などを社員に守らせるように、と情シスに指示してきます。この時代、選択肢が多すぎるので、情シスのような立場の人間が教育者になるべきで、ある程度は仕方ないと理解はしています。

[Cさん]うちでは情シスが、エンジニア以外の社員に「インフラ・ITクイズ」を出して、点数の高い人を讃えるイベントを定期的に行っています。社員のリテラシーを高める機運に持っていくためです。

[Aさん]セキュリティに会社の予算が回らないんです。「ファイアーウォールって何で要るの?」と聞かれるレベル。脆弱性診断で予算がいくらかかります、と言うと「何でそんなにかかるんだ!」と……。これも黙って引き下がるしかないんですよね。

[Cさん]うちでは、老朽化したサーバーが多いシステムをリプレース、リニューアルするという話があった。見積もりを出したら、2億5千万円になったので報告すると、「ふざけるな」と(笑)。仕方ないので謝り、リニューアルしないことになった。それ以後は障害が多発したけど、今度は「なんで障害が多発するんだ」と怒られる。ゲーム会社では、プロジェクトが押してくると脆弱性診断をケチりだします。よし脆弱性診断なしでいこう、と。本当は自分でも諦めてて、キレてないんだけど、立場上は怒るべきなので、演技するのが大変。慣れっこなんですけど、「まぁ良いか」と心では思いつつも、怒る。

[一同]笑い

[Cさん]会社の予算の話が出ましたが、ゲーム会社では、ユーザー情報のどこまでを個人情報と見て投資していくか、という問題があります。ニックネームは? 端末情報は? それらは、氏名とメールアドレスに結び付いて、はじめて個人情報になります。例えばUDID(個体識別番号)は、ただの数字に過ぎません。そこのセキュリティに、いくら投資すべきか。

■スマホやクラウドが当たり前に。セキュリティ面で求められることは?

[Cさん]個人情報の保護が声高に言われていた頃に比べると、最近は温度差を感じます。スマホのロックがスライドで簡単に外せることも影響しているのかな。クラウドを介してPCとサーバーとスマホを連携させることが最優先されていて、情報は共有してなんぼ、と思われている。情報の漏洩など気にしていない、という人も少なくない。とにかく会社でも家でも仕事ができることに重きが置かれているんですよね。そういう人間に限って、飲み会でUSBメモリなどを失くしてくる。また、クラウドがどういうアーキテクチャで出来ているのかを意に介さないで、サービスを丸ごと盲信して使っている社員が多くなったのも、気になっています。

[Bさん]うちでも最近、スマホをなくした人がいました。

[Dさん]ひと昔前なら、クラウドにデータをアップするのは情報漏洩と言われていました。これもスマホの影響ですね。

[Cさん]個人情報保護法の話で思い出したんですが、以前勤めていた会社では「来週Pマーク(プライバシーマーク)をとっておいて」などと簡単に言われたこともありました。シールもらってきて貼るだけでしょ、と。理解のない経営陣の下では、仕事もしんどいですね……。

[Aさん]うちでは自社でプライベートクラウドを立ち上げました。「乗り気じゃない」「信用していない」と言っていた人間を、安いからと説得して、なんとかサービスを乗っけさせたんですが、運用して2か月後にストレージがすっ飛んだ。叱られましたね。徹夜でデータを復旧しました。

[Cさん]プライベートクラウドは、担当者依存ですよね。やるって言ったからには、やり切らないといけなくなる。サーバーを足せば足すだけパフォーマンスは上がるけど、忘れてもらっては困るのが、それを管理している情シスがいるということ。サーバーは24時間動いているので、放っておけない。たしかにサーバーのパフォーマンスはどんどん上がるけど、我々の睡眠時間は無限じゃない。パブリッククラウドの方が良いケースも多いですね。

★次回は、『情シスに求められる人物像やスキルとは?』を25日に公開予定!

みんな、理解して! ITインフラやセキュリティはこんなに重要……【覆面座談会@情シスのホンネ(Vol.3)】

《近藤謙太郎@RBB TODAY》

関連記事

この記事の写真

/

関連リンク

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. GROWI に複数の脆弱性

    GROWI に複数の脆弱性

  3. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  4. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  5. インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

    インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

  6. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  7. メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

    メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

  8. フィッシングサイトのドメイン「top」が最多、デジタルアーツ調査

    フィッシングサイトのドメイン「top」が最多、デジタルアーツ調査

  9. NDIAS「車載器向けセキュリティ技術要件集」活用したコンサルサービス提供

    NDIAS「車載器向けセキュリティ技術要件集」活用したコンサルサービス提供

  10. 札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料

    札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料

ランキングをもっと見る
ホーム 特集 特集 記事
TOP