こんにちは、Workaholicです。
セキュリティのお話については黙ってられないので注意喚起的な意味を含めて記事を書きます。
経緯
交野市長 山本けい(@keiyamamoto0312)氏のツイート内容です。
※現在このツイートは削除されています。
税金を使わず「私凄いでしょ!?」ってアピールをしたつもりが大炎上に繋がっています。
中には山本けい氏を擁護するツイートがありましたがハッキリ言って擁護どころが火に油を注ぐ結果となっていました。
今回のツイートにはどのような問題があるか解説をしていきます。
問題点
私物は管理外
組織でPCで使うという事は各要員のPCを管理する必要性があります。
・変なWebサイトを開いていないか?
・変なソフトウェアをインストールしていないか?
・外部記録媒体にてデータの持ち出しをしていないか?
・Webを経由してデータの持ち出しをしていないか?
挙げればキリがないのですが・・・あらゆる不正行為、または情報漏洩に繋がるウイルスの感染など監視をする必要性があります。どんな会社組織でも情報が洩れれば問題ですが、特に国の組織となるとその重要性は大きい事でしょう。
にも拘わらずその管理下に置かれていない私物のPCで仕事をしているとしたらどうでしょうか?
どんな問題が起きても何も本人が申告しない限りは何も分からないのです。
あるいは本人が情報漏洩に気付かなければ被害が出るまで漏洩には気付けないでしょうし、失職を恐れて被害を報告しない事もあるでしょう。
管理外のPC(私物PC)を使うという事はこのような問題があるのです。
統一的なルールの作りにくさ
もし私物のPCの利用をOKにすればありとあらゆるPCが入り乱れる事になります。
それはOSやソフトウェアなどなど・・・それらを情報システム部が管理するなどほぼ無理です。
仮にBYODの使用前提で私物PCを許可したとしても、個人や知識やモラルに任せたルール作りは行っていはいけません。何がどうなったら問題なのか?問題が発生したらどちらの責任になるのか?を決める事は困難を極めます。その為近年ではセキュリティの状の観点からBYODを使用を辞める企業も増えています。
いくら誓約書を書かせようがルールを破る人は出てきます。それは違反行為に懲戒処分の処罰が発生することを周知したとしてもです。それなら初めから貸与物品を使用することでリスク自体の回避を行うべきです。
特にIT企業でなければそのITリテラシーから問題は多く発生すると予想されます(これは個人感想
ただ市長が盛大にITリテラシーの無さをSNSでつぶやいてしまっている事は事実ですがね。
反論
彼の反論について更に問題点を深堀します。
市役所がOKと言うなら大丈夫!ではなくむしろ市長なら「持ち込み禁止」をする立場です。
総合行政ネットワーク(LGWAN)・インターネット・プリンターには接続できない・・・口で言うのは簡単です。しかしそのPCを仕事に使用しないという保証はどこにあるのでしょう?
市長の信頼という問題ではなく、そのリスク自体を排除しなければならないのです。
「私はやりませんので大丈夫」は社会では通用しません。
また市長の御油無はほぼ紙、口頭、電話で実施をしているとしたらその私物のPCはなんのために使うのでしょうか?議員時代の資料の閲覧行為が業務がは無いとしたらそれは私用を公務中に行っているという事になります。
必要もない端末を、私用で職場に持ち込んでいる。
これをセキュガバを言わざる負えない案件と私は捉えています。
くコ:彡
コメント