「セキュリティの高い」企業のガチガチな規則

下の記事で、中小企業にはITセキュリティ基準が疎かになっている点を課題として挙げました。

一方で、セキュリティ規則が厳しくなると「業務がやりにくい」という状況に陥ります

「セキュリティに気をつけている企業」でよくある制限としては下記のようなものがあります。

  • PCの管理者権限がない
  • USBメモリは使えない
  • PC機種とモニタは全社統一
  • フリーソフトやクラウドサービスはもちろん、会社承認アプリしか使えない
  • リモートアクセスも管理者しか使えない
  • ブラウザがプロキシを経由しておりホワイトリスト入りしているサイトしか接続できない
  • ネットワークの接続ノードも物理的に固定
  • ノートPC持ち出し禁止。またはシンクライアントを公衆回線から社員カードなどでクライアント認証して利用できるが、インターネットさえ会社経由となりとにかく遅い
  • Wi-FiはMACアドレス制限つきで許可された端末しか接続できない
  • パスワード管理が厳しく、PCのログインアカウントはもちろん、メールなど使っているあらゆるサービスについて1〜2ヶ月に1回は更新。しかも4世代まで同じにできない

これらの制限や規則は、たとえば社員が何百人以上いて、パソコンスキルも差があり、外務の業者も出入りする、機密保持契約を結んだ取引先とのプロジェクトがたくさん動いている、などの「リスク大環境」であれば、問題の発生を事前に防御する上で非常に効果を発揮するでしょう。

しかし、SEなどITに比較的明るい社員にとっては、自分の仕事の手段が非常に制限され、ときに非常に非効率な作業を強いられることになります。
一見普通に生きる環境が与えられているようで、まるで自由がなく、翼を削がれた動物園の鷹も同然です。

これは会社としてのリスク管理とのトレードオフなので、リスクを減らす方が選択されるのはある意味企業にとって合理的な判断です。

しかし、常々イライラしながらの仕事を強いられることになります。

あえて言おう、地方中小でそれは不要と

規則をゆるくしうる条件

しかしこのようなガチガチな規制は、当然のように中小企業にはありません。
必要かというと、次に当てはまる規模の小さな会社では不要と言いたいです。

  • 社員が少なくコントロールが効き、目も行き届いている
  • 外部業者の出入りがほぼない
  • 顧客情報等の機密情報をPCに格納していない
  • そもそも危ないことをやるほどPCを使い倒している社員が自分以外いない

「いやいや、それでも危ないでしょ(笑)」と思った人はたくさんいると思います。
わずかなリスクも見逃すまいというその意識はSEだったら鏡ですね。

しかしそのリスクを防御することで、半分の社員の作業効率が下がったとしたらどうでしょう。
効率が下がって会社が負担する残業代が増えるくらいで済めば良いですが、それで企業経営自体が傾きかねないのが中小企業です。

たぶん上記のようなパスワード管理規定を非ITの中小企業に適用したら、半分の社員がパソコンを使うことを諦めます。
紙と印鑑の王政大復興です。
「こんなんじゃ営業活動に時間が回せない」とか言い訳し出す人さえいそうです。

だから、システム一式の丸投げ先の外部のIT業者も、ゆるゆるのセキュリティ設定で構築しているのです。

本来リスクあると思います。「あなたのところに任せていたのに、情報漏洩が発生した」などと言われかねないのですから。
でも管理を強固にしては逆に問い合わせが殺到したりなど、ビジネスとして利益とリスクを勘案した上でのゆるセキュなのです。

また、使ってている側もそれを承知の上で、ある程度リスクを許容することも経営判断の範疇です。しかし実際は、今の状態がどれだけリスクがあるかを認識できていないというケースほとんどです。

ですので、まずは、今がどのような状況で、どのようなリスクがあるかを会社にきちっとわかる言葉で説明した上で、それでもあえてコストのかかる対策をしないことも経営判断のうちであることをわかってもらいます。つまり、万が一の時に自分だけののせいにされないように、会社の意思でやっているというコンセンサスを得ておくのです。

しかし、現状のままにリスクを放ってはまずい部分については、管理者となる自分が少し負荷を被る程度に留まる範囲で、最低限のことはやっておくということもきっちりアピールしましょう。
たとえば下記は最低限の対策と思いますが、システム全部を外部丸投げで社内にシステム管理者がいないような中小企業ではできていないことがあります。

  • WindowsクライアントはUpdateを自動更新にしておく(初期不具合リスクはあるが業務影響は少ない前提)
  • ビジネス向けのエンドポイントアンチウィルスクライアントを入れるのは当然として、各クライアントで定義ファイルが最新であることを統合管理できるソフトを選び、たまにチェックする
  • Eメールは外部サービスでも良いが、サーバー側でスパム検知機能を持っているものを選び、スパムと判定されたメールは管理者が確認する
  • フィッシングサイトやその類のメールに対して定期的に社内喚起する
  • ランサムウェアチックな怪しい表示などがあった場合には即相談するよう啓蒙し、その空気作りをしておく
  • WANへのルーターでは最低限のファイアウォール設定をしておき、妙な通信がないか定期的にログ確認もする

「もしも規則がゆるかったら」ソフト編

上で書いたような制限がないならば、業務に役立ちそうなアプリケーションを自由に試すことができます

なにせOSSをはじめとするフリーソフトなどは入手先が安全ならばすぐ試せます。遊休PCに勝手にWEBサーバーやDBサーバーを立てたりしても自由。使うのはほとんど自分だけなので、サーバーを立てるのもサーバーOSマシンでなくても良いでしょう。

もし外部業者がキッティングしたサーバーマシンが社内にあったとしたら、ごく特定機能にしか使われておらずリソースを無駄に余らせていたりするものです。業者に事前相談の上、自分の責任で別のシステムをインストールしても良かれの範疇です。(リスクを十分に理解してやること)
RDB+アプリサーバーを立て、基幹システムとは別に特定の人に役立つCMSなどを構築しても良いでしょう。

また、Googleの各種サービスをはじめとして、企業でも利用可能な無料サービスもたくさんあります。
チャットなどのコミュニケーションツールもあれば、経理業務関連でもあります。

これらを「試しに」使ってみて、会社にとっておおいに役立つソフトであれば有償版を検討するなど、ソフト選定に対してのフットワークが非常に軽くなるのが大きなメリットです

また、新しい仕組みを導入するだけでなく、不具合調査などでも必須のフリーソフトがあります。
ネットワーク関係ならばEthernetのパケットをキャプチャしてTCPデータを見れば、どんな不具合が起きているかは一目瞭然です。
そのため私はネットワークトラブルがあるとすぐWireSharkを起動するのが習慣なのですが、前にいたSE職ではそれすらインストールが許可されておらず、歯がゆい思いをしたものです。

 
ただし、素性不明なソフトを試す前に、最低限のリスク管理が必要です。
特にセンシティブな顧客情報については、安易なコピー&保管はせず、せめてファイルサーバーやNASなどにアクセス権限をつけて管理しておくなど対策しましょう。
(そもそも紙に印刷してシュレッダーもかけず捨てたりしていることもあるので、システム以前の問題なのですが)

「もしも規則がゆるかったら」ハード編

クライアントPCのスペックも、上司や社長に説明ができれば変えることさえできるでしょう。

そもそもガンガンCPUを回す元SE社員と、基幹システムをたまに使う程度の60歳くらいの社員が同じスペックのPCを使っているのがおかしいと思いませんか
公平性重視の企業文化を美としているのか、単にシステム選定者の思考が停止しているのかわかりませんが、大概は値段で最低限のスペックで横並びにされるせいで、使える人たちが非常にストレスを感じる事態となっていることが少なくありません。

メモリが足りないと多くのサービスを動かしておけないし、いまどきOSだけでも1GB以上消費し、ブラウザやメーラーもタブ化して数百MB以上消費する状況なのに、メモリが4Gの仮想環境ではExcelも開けません。

 
また、周辺機器も必要に応じて拡張させてもらえるでしょう。

キーボードは多少古くてもマシですが、センターホイールが死んでいるボール式マウスを我慢して使っている人を見たときには戦慄しました。
千円弐千円の世界で劇的に良くなるのであれば即買い替えを訴えるべきです。

モニタも今時4:3で横1280dot程度だとすれば、狭すぎて横長のエクセルの作業効率が悪すぎますね。
今や24インチくらいのFHDモニタが1万数千円で購入できます。

PCもデスクトップ型ならばアナログとデジタルで二本出しできることがほとんどであり、拡張デスクトップにすればさらに効率が上がります。
デュアルディスプレイに関しては、IT企業であっても認知度が低くいまだに四畳半のような狭苦しい領域でショートカットキーを駆使しながら仕事しているところも多いように思います。
「効率化」観点で言えば真っ先に改善すべき事態ではないでしょうか。

 
ハードウェアの拡張は「目に見える効果」として他の社員にも賛同を得られることが多いです。
コストもさほどではなく、そういった窮状を整然と説明できれば、会社に拒否されることはほぼないでしょう。

「働き方改革」の尻馬に乗れ

近年「働き方改革」というきな臭い言葉が一人歩きしていますが、「業務効率を上げる」というのは経営陣にとって最も身近な、悪く言えば安直な「経営」として評価されます
つまり、それをやっていれば経営者として「やるべきことをやっている感」が出る媚薬のような存在であり、逆にやっていなければ経営者失格感が醸し出されるのです。
そうでありながら、実際は何をして良いのかネタ不足、最悪はお手上げ状態のことさえあります。

良くも悪くもその時代の波を捉えられれば、提案の多くが受け入れられる可能性が高いです。効果があると思った提案はどんどんしていくべきでしょう。

もし数万円程度の投資で効果が期待できる提案に関わらず拒否されるとすれば、そもそも会社として元SEの人間を別の職種で雇い入れたことと矛盾するでしょう。「Youは何しに中小へ?」状態です。

そんなそもそも的事態にならないよう、自分に求められていることについてきっちり経営陣と共通認識が得られる企業を選ぶことが大前提です。その上で、経理という本職を誠実にこなし、更にはシステム担当としても実績を細かく積み上げ信頼を得ておくという、提案が受け入れられるポジンションづくりが大事です。

 
上述の通りソフト的にもハード的にも自由度が高くなれば、「ちょっとやりたかったこと」がすぐにできる環境が作れます。
それは大企業でありがちな、リスク回避重視が故の不便さから生じる非効率性の悩みが軽減されます。

これはシステムと対峙することを生業としてきた者にとっては非常に心地よく、伸び伸びと仕事ができます

Q: なぜ田舎でしかも中小?