病院のSEとして10年以上働いている@whitefox21seです。
▼Twitterで最新記事をツイートしてます。こちらもよろしくお願いします!
Follow @whitefox21se
情シスの大きな仕事の一つは、職場の情報を守ること。具体的には、サイバー攻撃やコンピュータウイルスへの対策が挙げられますが、情シスが警戒しているのは実は職場内部だったりします。防御壁を中から崩されるのがもっとも厄介だからです。
今回紹介するアンケートによると、情シスの4割は職場のセキュリティに不安を感じており、中でも多かったのが「社員の意識」だそうです。世の情シスがどんなことに苦労しているのか、見ていくことにします。
読者の応援が心から励みになります。記事を読むたびに、「人気ブログランキング」または「にほんブログ村」ボタンのクリックをお願いします!
※クリックすると私に票が入ります。押すだけなら無料(笑)!情報が取られる等はありませんので、ぜひ応援よろしくお願いしますm(_ _)m
システムエンジニアランキング
にほんブログ村
情シスの4割は職場のセキュリティに不安を感じている
取り上げるアンケートはこちら。ガベージニュースさんのサイトで紹介された、クオリティアの調査結果「オンラインセキュリティに関する調査2022」になります。
メール、Web会議システム、チャットシステム、などオンラインでのコミュニケーションツールはかなり普及しましたが、気がかりは安全性です。コロナ禍でZoomが流行った頃は、中国にあるサーバを経由しているため情報が筒抜けではないか、という政治的なリスクが問題視されました。また、メールはただでさえウイルス感染の温床になります。
これらツールの利用に関しては、情シスとしては自由に使わせるのは疑問であり、不安に感じているというのは頷けますね。
しかしアンケート結果では、それらを抑えてもっとも不安視されているのが「社員の意識」でした。確かに、私も同感です。
オンラインツールに関しては、利用ルールを社内で取り決めておくことで想定外の利用をある程度防ぐことが出来ます。しかし社員のセキュリティ意識が低いと、「まさか、そんなことするわけないよな」と思うようなことを平気でやったりするので、注意が必要なんです。
電子カルテの内容をスマホで取って、LINEで送る、とかね。
過去にそんな情報漏洩の事件がありましたね…。リテラシー低すぎ問題。
外側からの攻撃については、UTMやファイアウォールでハード的・ソフト的に対処のしようがありますが、社員の行動は制限のしようがありません。情報流出に厳しいところだと職場にスマホを持ち込めないようにしている場合もありますが、一般的な会社ではなかなか現実的には難しいところ。ソフトウェアのインストールをブロックしたり、USBメモリを使用できないようにガードを掛けたところで、手持ちのスマホで写真を撮られたら防ぎようがありません。
しかも、そうしたことを悪気なくというか、ダメだと思わずにやっている人も実はいるんですよね。ITリテラシーが低いために、やっていいことと悪いことの区別がつかない。そういう社員の意識が一番危ない、とこのアンケート結果は示しています。
▼関連記事
情シスが驚く、社員のトンデモ行動
同サイトで紹介されている別のアンケートでは、情シスが見た社員のトンデモ行動ランキングを発表しています。
上位にランクインしているのは「業務と関係ないサイトを閲覧」「許可されていないソフトを勝手にインストール」「IDやパスワードのメモをパソコンに貼り付け」。どれも頷けるトンデモ行動ですよね。
「業務と関係ないサイトを閲覧」は百歩譲って許すとして、厄介なのが「許可されていないソフトを勝手にインストール」。今でこそ、ファイル共有ソフトを入れるという不届き者はいないでしょうが、最近はフリーソフトにマルウェアやトロイの木馬が仕込まれるケースがあり、安易なソフトウェアの導入は警戒が必要です。好き勝手にインストールすることに何のためらいもない者も結構いますからね。
実際、私の職場でも少し前に、トロイの木馬を院内ネットワークに持ち込まれたことがありました。駆除し影響範囲を調べるのに多大な時間を使い、苦労しましたね…。
「IDやパスワードのメモをパソコンに貼り付け」などは言語道断なわけですが、これも結構多いです。特に病院はパソコンに疎い人が多いので、「覚えられないから貼っている、でないと忘れてしまう」と平気で言ってきます。そのメモは誰でも見れるんだから、パスワードの意味なくね?って話なんですが…。
アンケート結果を見ていると、どの情シスも同じことで頭を悩ませているんだな、と思わされます。
▼関連記事
手をこまねいているわけではないが、お金が無い
最初に紹介した記事の冒頭では、耳の痛いことが書いてあります。
企業によって実情は異なるが、一般的に情シスはオンラインセキュリティに不安があるのならば解消に努めるのが役割の一つのはず。それが解消されていない実情は、情シス担当者にとっては頭の痛い話に違いない。時間的に対応が追い付いていないのか、予算や人員が割り振られずに対応しきれていないのか、あるいは対処方法が分からないのか。
不安を感じているのに解消できていない理由は、やはり予算でしょうね。クライアント監視ソフトを入れるなどして統合管理環境を整えたいところですが、費用対効果がどれだけ出るのか測定が難しいところ。しかも上に掛け合っても、ソフトの重要性や必要性があまり理解されず、予算を取りにくい分野であるのが実情です。
最近はランサムウェアによる甚大な被害が社会問題となり、特に病院では数カ月間に渡って診療が停止するなど市民の生活を脅かす事態にまでなったことから、セキュリティ意識も変わってきています。しかしまだまだ発展途上。売上に寄与しない分野は優先順位が低く、後回しになります。そうとは言っても手を打たないわけにも行かないので、社会のセキュリティ事故などが起きるたびに、事例を引き合いに出しながら自院でのセキュリティ対策向上の必要性を訴え、少しでも予算をつけてもらうよう声を上げていかなくては、と思っています。
情シスだって、黙って手をこまねいているわけではないんですよね。ただ、いくら上に掛け合っても相手にされないことが多いので、「おいおい、こんなんで大丈夫か…?」と現状に不安を抱きながらも仕事をしている、というのが現場のリアルな実態ではないでしょうか。
情シスの仕事は、なにもハードを買ったりソフトを導入したりするだけではありません。社員に対して研修を行い、セキュリティ意識を持ってもらうよう啓蒙することも大切。また、業務の効率化でソフトを入れたいだとか、社内のパソコンを外でも使いたい、といった社員からの相談に対して、セキュリティリスクをしっかり説明し、危険性を認識してもらう地道な活動も必要だと感じます。
いくら分厚い防火壁を設置しても、不用意に内側から開けられては意味がありません。社員の教育もセキュリティ対策の一環として取り組んでいかなければならないな、と思うばかりです。
▼関連記事
最後に
当ブログでは、病院に勤務するシステムエンジニアの私が、関係法令の改正やパソコンのトラブルシューティングなどをSE目線から紹介しています。
面白いと思ったら、ぜひブラウザにお気に入りの登録をお願いします!
人気記事もぜひ読んでいってくださいね。
▼面白かったと思って頂けたら、ぜひ下の「人気ブログランキング」または「にほんブログ村」のボタンを押してください!