なんとなく綴ってみた

アクセスカウンタ

zoom RSS 今どき“USBもクラウドストレージも使えない会社”なんて……やっぱり広告

<<   作成日時 : 2016/10/12 11:01   >>

ブログ気持玉 0 / トラックバック 0 / コメント 0

同じ広告でも、書籍を売るための広告と、実際に商品の運用例を紹介する広告では、内容が違うが・・・。そもそも、今時USBもクラウドも使えない会社があっても、別に構わないと思うが、使えなくても運用できる企業は世の中にたくさんある。むしろ、使えてはいけない現場で働いてきた身として言えば、使えてはいけない現場は近年増えていると感じる。情報の漏洩が、問題になるのは今や個人情報だけでなく、企業機密、開発機密もあるからである。何というか、最近個人情報漏洩という話が出たり、大学から情報が漏れたりという話が出るのは、すべてが中途半端に一緒のもの、使えて当然という話になっているからではないかとおもう。
http://www.itmedia.co.jp/enterprise/articles/1610/12/news027.html

そもそも、個人情報保護法ができてから、多くのそれを扱う事業者は、使わせることに苦労していて、使えない仕組みを設ける組織もあるのだ。そういう場では、USBメモリーなど外部には出せないし、挿すことも許されない。派遣や請負、パートもいる社会で、ベネッセのようになっては堪ったものではない。


ちなみに、民間で個人情報が多い現場において、USBメモリーを使うのであれば、端末を特定した一部機器に限り、管理者の管理下や専用ソフトウェアによる履歴管理の下で、運用規約でどんなデータを取り出し、消却義務規約を設ければよい。これは、主に高度な個人情報を扱う業務で使われる。一般にこの手のビジネスで社内ストレージサーバーを除き、クラウドストレージを自由自在に使えるなどという運用を持つ業者は、最悪であるし、そもそもUSBメモリーに持ち出すのは個人情報保護法の観点から見ると、可用性に乏しいのである。

今時というが、ビジネスによっては今時USBメモリーやクラウドストレージが使えないと嘆いている方が、異常であり、使えなくて当然のビジネス現場も実際にあることは知ってほしいものだ。

下手にこういう記事が出回ると、むしろ何故できない時代遅れだという人も希に現れる。・・・たとえばLanScopeのような資産管理、USBデバイス管理をして最先端の運用とのトレードオフを探っていても、これじゃ足りないと言うわけだ。


一般にデータのアクセス権にはいくつかのフェーズ(レベル)がある。
誰でも参照してよいデータ。漏れても、影響がない個人が特定できないデータが、たとえばレベル0としよう。
これは、USBメモリーにあろうが、クラウドストレージにあろうが、どこにあろうが問題はない。

次にやってくるのが、たとえばある一人の人の顧客データである。ヒアリングシートのようなものをデータに打ち込んだり、直接モバイル端末やタブレットに書き込んだものが、それだ。

一般には、この手のデータは2種類の方法で保存されることが多い。個人で買ったまたは会社が提供したコンピュータや手帳などに手書きまたは入力されて、一時保存される。このデータはいわゆるデータベースに収まる前のデータになるため、漏れてもすぐに問題となることは少ない。また、個人や組織を特定されても悪用されることは少ない。なぜなら、比較対象となる他のデータが欠如しているからである。見ても、使われることは少ない。データというのはある程度貯まっていた場合に役立つものだ。この手のデータはレベル1となる。

ただ、近年はここもシンクライアントを組み込んだモバイル環境や、VPNで構築された専用の通信デバイスを用いて作業できるケースもあるが、これは主にある程度の従業員数をもちかなり予算が潤沢に出る企業の話である。


問題になるのは、ここからだ。
集めたデータを整理し、帳票(データベース)に納めたものは、レベル2より上になる。

レベル3や4、5というものがあれば、それらは資産、病気、宗教、家族環境、趣味趣向などまで見えてくる。
医療や金融などのシステムとそれを活用するシステムでは、L3より高いセキュリティが必要になり、参照できる権限は、たとえば医療なら、医者が閲覧できるデータ、看護師が閲覧できるデータ、ただの職員が閲覧できるデータですべて変わってくる。すべてを閲覧できるのは、医者など限られた人になる。

では、それらのデータを、クラウドストレージが使える環境に置けるのか?置いて活用している病院を、あなたは選びたいか考えるとよい。普通、自分がどんな病気か、周りに知られるのはいやかもしれない。そういうことだ。

また、社内機密に関わる情報が外に漏れれば、他社に情報を奪われ、競争に負けるかもしれない。即ち、USBも使えない。クラウドストレージも使えないよりも、企業として成長するのに必要な分野に、どういう媒体が使えるのか?を本来は問わなければいけない。

だから、部門や職種によっては、クラウドも使えない。USBメモリーも使えないと一緒くたにされても困るのだ。もちろん、使っても問題ないのに使わない企業も中にはあるだろうが、使って当然ではない。こういう話は、一つ一つのビジネス現場を見て、その都度運用を考えるものであり、使えないのが古いとか、新しいとかそういうものではないのだ。

むしろ、絶対にやってはいけないのは、セキュリティが絶対の現場で、これができて当然と思わせることだ。
個人的に、タイトルでこれが気になってしまった。別にそういうつもりで書かれた記事ではないだろうが・・・。どこでも、誰でもこれが当たり前で、検討すべきと思われても困るのである。まあ、検討できる部署がしないとしたら、それは予算や管理者のやる気などその組織の問題という可能性もあり、これは役立つだろうが・・・。キックオフで新しいものを始めるのは、本来、それに併せて楽になるなら別だが、作業が増えるとしたら、人を増やして本来は展開すべきことだ。

最近は、一時的な対応としてもそれをする組織は少ない。だから、書籍のように簡単にとはいかないだろう。



情報セキュリティ白書2016
独立行政法人情報処理推進機構
2016-07-15
独立行政法人情報処理推進機構

amazon.co.jpで買う
Amazonアソシエイト by 情報セキュリティ白書2016 の詳しい情報を見る / ウェブリブログ商品ポータル


テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
今どき“USBもクラウドストレージも使えない会社”なんて……やっぱり広告 なんとなく綴ってみた/BIGLOBEウェブリブログ
文字サイズ:       閉じる