最近、2chやWebMailをフィルタリングされたり、WinnyはもちろんSkypeも禁止されたり、暗号化ソフトのインストールを義務づけられたり、個人持ちのシェアウェアもインストール禁止されたり、と会社のセキュリティがどんどん厳しくなっていっています。要するに、職場にプライベートを持ち込まない、家庭に仕事を持ち込まないということです。

背景には度々マスコミを騒がす情報漏洩の問題があります。まあ、うちの会社はまとまった顧客データもないのでそこまでしなくても良いのですが、親会社から命令されるとやらざるを得ない訳です。情報漏洩事故を起こしたら厳しく処罰すると脅されているので管理職はとにかく少しでも変わった事はやりたくないと保身に走り硬直化しています。

実際、親会社の上層部が気にしているのは、情報漏洩により顧客に迷惑をかける、ライバル会社に情報が漏れ競争力を失うといった本質的な問題ではなく、マスコミに騒がれないかということだけです。まあ、マスコミに騒がれると株価が下がり会社に損害が及ぶわけですが、何か違うんじゃない？ともやもやした思いがします。

問題は、立場の弱い組織ほど必要以上の情報セキュリティ対策を強いられ、結果的に現場の足をひっぱっているということなのかなあ。Skypeなんてうまく使えば凄く便利なんだけど、P2Pというだけで禁止するのはいかがなものか。暗号化ソフトもPC起動時に復号化、終了時に暗号化するだけのソフトで、まともに使うとPC起動、終了に何十分もかかるというまぬけなことになるから誰も使っていない。せめてTrueCryptで暗号化ドライブを使うとか頭を働かせて欲しい。また、個人持ちシェアウェア禁止でATOKやShurikenといった便利なソフトが使えなくなる。会社はMS IMEとOutlookでいいじゃん？という考えで個人的にちょっと便利なソフトには金を出してくれません。

あれも駄目これも駄目と規則を追加するのがセキュリティ対策というのでは能がなさ過ぎる。それに所詮、規則を追加するだけでは内部の人間の悪意ある行動に対処することはできません。

現場の意見としては、利便性を保ちつつセキュリティを強化したいわけですが、実はセキュリティツールを導入すればほとんど解決できてしまいます。例えば、SeP です。PCの操作をロギングしたり、ファイルを暗号化してドメイン外で見れなくしたりできます。特に操作のロギングは社員のモラル向上に役立ちます。実際は全てPCのログをチェックするなんてことはできないと思いますが、キリスト教圏の国々の神が見ておられるという意識、日本で言えばお天道様がみているという意識を持つことで自然とモラルが向上すると思います。

私と同じ事を考えている人は会社にも大勢いるでしょうがそれでも一向に改善される気配がないのは、ソフトに予算を出せない、実際に役に立つかわからない、一度決めた規則を撤廃するのは難しい、経営者に現場が見えていない、ボトムアップで意見が伝わらない等々、会社全体が硬直化してがんじがらめになっているからかもしれません。