誰が情報セキュリティをダメにするのか？

面白いエントリを見つけた。
yebo blog- いかにして情報セキュリティをダメにするのか

超訳ということなので、これがどれだけ原文のニュアンスを伝えているかは原文を見ていない私には分からない。
でもここであげられた内容は今直面している話とあまりにも符合する。

まるでウチの会社を見て書いたんじゃないの？と思うくらいだ。

・ 法令遵守要件を無視する
・利用者はあなたがお願いすれば、セキュリティポリシーを読むと決めてかかっている (そんな事はない)
・カスタマイズせずにセキュリティテンプレートをそのまま利用する
・十分に準備する前にISO 27001/27002のようなフレームワークに飛びついてしまう
・実行できないセキュリティポリシーを作ってしまう
・十分に承認を得ずにポリシーを強制してしまう
・あなたの会社のビジネスやプロセスの知識無しにセキュリティポリシーを作るのにベンダにお金を払ってしまう

・チューニングなしにそのままセキュリティ製品を展開する
・道具に集中し、説明責任を堅持する重要性を考えないで省いてしまう

この最初のいくつかが、今すすめられている新システムの導入でまさしく行われている。
セキュリティの規格を検討している部署は誰の意見も聞かず、全く自分たちの独善で「日本最高レベルのセキュリティを実現する」なんていきまいて、仕事を進める上で遵守不可能なセキュリティルールを強引に推し進めようとしている。

しかもそのことについて全く現場に説明がない。
問題があれば現場の方から聞いてくるのが筋だと思っているらしい。
その日本最高のセキュリティは結局メーカーのできあいセキュリティソフトをすべての機械にそのままインストールして、インストールできない機械は排除してネットワークを外界から隔離して作るというテンプレート通りのものを作り上げようとしている。

あらゆる例外を許さないらしい。

・リスク分析にもかかわらず、全てのIT資産に同じセキュリティ基準を適用してしまう
・リスク管理の責任を誰かに負わせる場合に、その人物に意思決定の権限を与えない
・情報漏洩がないと安全と思ってしまう

まさに新システムは内部から重要情報が漏れることに対して鉄壁の防御を作り上げようという意図が伺える。
そのために一部の業務機はWindowsUpdateすらかけられない。
外からウイルスやマルウエアを持ち込まれるリスクというものが全く考慮されていない。
非常にいびつなセキュリティ体系が誰の承認も得ないまますすめられようとしている。
そのくせ問題が起きた場合の責任はユーザにあるのだそうだ。

・セキュリティの代わりに便利なものでも使わないことをエンドユーザに期待する
・仕事を進めるのが難しく、タイトになるような基盤を終わらせてしまう
・要望を承認することを求めらると「ダメ」と言う
・必要なツールの提供や訓練無しにセキュリティ要件を負わせる

ユーザは当然業務を改善できる可能性があるものは自前でも導入したがる。
それがセキュリティポリシーに抵触するかどうかなんてことはいちいち気にしないに決まっている。
またそういうものは多くの場合客観的に考えて使用することを推奨すべきものということが多い。
ところが今の設計の段階でそういうものを使いたいと交渉すると、決まって返ってくる答えは
「ダメ」
のひとことだ。
理由すら分からないことがある。
最近ではばからしいので、もういちいち申請しないで新システム移項時になし崩し的に勝手に導入して問題が起きた時にだけ交渉する方が良いのではないかと思い始めている。
いずれにしてもその新システム移項時の完熟も、移行後まで誰にもできないようなスケジュールを作って、しかも以降猶予期間は４週間と来た。
社員はどうせ大した仕事をしていないと決めてかかっているようだ。

結局仕事を進める上で社員は抜け道を見つけるだろう。
USBメモリの使用をいくら禁止したって、USBメモリ経由での感染はあとを絶たないだろう。

こちらの
2008 年 4 月 16 日
ウイルス騒ぎって子供の頃の颱風みたいにちょっとワクワク・・・（不謹慎）
で取り上げたautorun.infは結局会社のパソコンの過半数は感染していた。
これがもっとクリティカルなウイルスだったら業務が止まりかねないというリスクは考えないで、一部の機材にWindowsUpdateさえもかけられないような隔離環境を作りだそうとしている。

いい感じだ。