[情報セキュリティEXPO'07]不正機器検出

予定通り情報セキュリティEXPO2007に行ってきました。
いつもの年に比べると「おおっ」というものが少なかったのも事実。
ですが、その中でも気になった何かをご紹介します。
とはいえ、やはり私の仕事の関連上、従業員数３桁程度向けの話です。

JALインフォテック　PALLET CONNTROL
http://www.jalinfotec.co.jp/product/pallet/IllegalSearch/index.html

不正機器検出というのは、本格的にやろうとするとスイッチを交換する羽目になったり
拠点ごとにハードウェアを入れたりということで、相当大がかりになってしまうもの。
一拠点3人しかいない、なんて場合には費用対効果からいって絶対不可能です。

そうするとソフト的な何か、ということになるわけですが、かといってフリーウェアでは心許ない。
そんな場合には結構いい選択肢のような気がします。お値段もリーズナブル!!
何といってもJALって響きがいい(笑)
ちょいと検討してみることにします。

情報セキュリティEXPO

5/16(水)～18(金)　情報セキュリティEXPO
http://www.ist-expo.jp/

NET&COMに並んでスケールの大きな展示会です。もはやセキュリティというのは名ばかりで、何でもアリの大展示会です。同時にデータセキュリティEXPOも行われます。

忙しくて行けない方や地方の方向けになにかおもしろいものを報告できたらいいのですが。

契約時の落とし穴

シス蔵　「会計システム保守の中途解約損害金について」
http://syszo.com/okweb3/EokpControl?&tid=11386&event=QE0004

　法務部を持たない中小規模の会社にお勤めの情シス担当者（私もその一人）にとっては、他人ごとではありません。最悪の場合には経営陣から「選定ミス」「契約書チェックミス」という二重のミスをの責任を問われたり、切腹を命じられたりする可能性もあります。

　「医療保険の契約前説明と一緒で、言わない方が悪い」「消費生活センターに訴えろ」という方はあまりおられないとは思いますが、一応補足しておきます。会社同士の契約の場合、守ってくれる法律はほとんどないし、国も面倒を見ないのです。これは個人事業主が商売上の立場で契約した場合も同じです。消費者というのは個人であって、契約書をくまなく読むとかそういうことには限界があるからこそ法律で守られています。しかし、法人の場合には「国に頼らず自分たちでどうにかしろよ」というのが基本的な考え方です。判子をついてしまった後で後悔しても遅い、ということになります。

　万一、ひどい目にあった!!という場合には会社同士の話し合い、あるいは弁護士を交えての話し合い、それでもだめなら裁判を起こすしかありません。会社同士の契約は厳しいのです。

　内部統制の取り組みの一環として、私の会社では昨年末から「10万円以上の発注または保守料金が月5万円以上となる場合には、契約書のチェックを担当者・課長・部長がそれぞれ行う」「500万円以上の契約書については顧問弁護士に依頼し助言を受ける」こととしています。これで内部統制に対応できているかどうかはまだ不明です。もっと厳しくしないといけないかもしれません。これで完全に上記のようなトラブルが防げるといいのですが、まぁ金額の大きいものから注意するしかないですね。背筋が凍ります。

<シス蔵管理者様へ個人的メッセージ>ブログの内容に直接関係ない、同内容のコメントを複数人のブログに相次いで投稿すると、「スパム」とみなされてフィルタリングされます。お気持ちはわかるのですが、もっとうまい手段を考えないとその方法はうまくいかないのでは。

セキュリティはどこまでやればOKなのか

　セキュリティはどこまでやれば「よし」とされるのか。

　私を含む情シスで働く人々にとって、これは大きな難題の一つだと思います。やりすぎは費用の面からも作業効率の問題からもよろしくありません。かといって取り組みが不足していれば事故が起こります。

　私は一時期、訪ねてくるベンダーさんに「どこまでやればいいんでしょう？」と聞いてみました。答えはほとんど一緒でした。「それは御社のポリシーの問題ですので」。ベンダーさんにしてみたら「下手なことを言ってトラブルに巻き込まれるのはいやだ」「それを考えるのがあんたの仕事だろうが」というところもあるかもしれません。そういう話はちっとも進まないわけですが、「このセキュリティ商品は絶対に最新の○○暗号方式を利用しています」とかいう話だけは盛んに聞くハメになりました。
　ところで、自動車保険はどこまで厚い保障をしておけばよいでしょうか。保険会社に相談したとき「それはお客様のポリシーの問題ですので」と答える会社はないと思います。対人対物無制限がおすすめです、お車は8年目ですからご自身のお車の保障はそれほどいらないでしょう、8年目になるので故障も考えられますのでロードサービスがおすすめです・・・こんな風にして提案してくれるはずです。保険会社は「下手なことを言ってトラブルに巻き込まれるのはいやだ」などとは考えません。
　一方、セコムなどの家庭向けセキュリティ会社はどうやって提案してるんでしょうね。おたくのポリシーの問題です、などとはやっぱり言わないと思います。

　というわけで自動車保険のようにすいすい決められないセキュリティ問題。何が問題なのか羅列してみます。

• セキュリティにいくらお金をかけても目に見えて手に入るものがない。・・・「当社は秘文をつかっているので安全です」とかホームページに書ければまた話は別かもしれませんけど。
• 目に見えて手に入るものではないから、経営者からすると「金食い虫」的な問題。
• 故に、あまりド派手に予算をかけようとすると情シスが「あほか」と怒られる。
• かといって、事故が起これば情シスが責任を負う羽目になりかねない。
• 厳しいルールは社内から反発が起こる。
• 現実的な運用を考えないといけない。パスワード認証を厳しくしすぎても、ポストイットにパスワードを書いて貼り付けておく社員が出るようでは逆効果。

　情シスにとって、セキュリティ対策というのはこの辺の事情を考慮した「ちょうどよい塩梅」を模索することでもあります。自分の社内的立場を守るためにも。

国防総省レベルの製品は要らない

セキュリティ関連の製品紹介を見ていると「米国・国防総省でも採用された暗号化技術」「FDA(アメリカ食品医薬品局)にも導入」などと書いてあったりして。ついつい「それなら確実だ!!ぜひ採用しよう」とか思ってしまうのですが、ん？んん？

うちの会社、国家の存亡に関わるような仕事してないし、国民の生命に関わる仕事もしてないような・・・

というかですね、さらによく考えてみるとそんなのを売りにする業界ってちょっと特異では。

• 国防総省も採用した安全技術を採用した自動車・・・アクセル踏む前に暗証番号とICカード、右折するには大統領の許可が必要、とか・・・しかし、個人情報漏洩は自動車事故以上に危険なもんなのか??
• 国防総省も採用した最新鋭の自動ドア・・・ロケットランチャーが命中しても問題なし、って、いらんわ!!もっと薄くて軽いのください!!

というわけで、もうちょっと民生品レベルでいいので、安くて使い勝手のよい商品でお願いします!!
でもですね、日本人には「お上も使ってるんならちょうどよいのかも」みたいなとこあるような。アメリカの役所に導入した製品だとオーバースペックで、日本の役所ならちょうどよい?日本の役所はアメリカの役所より信用度が低いのかしら・・・

• 社会保険庁も採用した名寄せ機能・・・だめ!!だめ!!それはだめです。
• 警察庁も採用したノートパソコン・・・それも微妙・・・

名刺は個人情報か

「個人情報保護」と称してセキュリティ関連の製品を売りに来たベンダーさんから時々「個人情報流失のお詫び」が届きます。名刺データの入ったパソコンを紛失、みたいなケースが多いようです。売りに来た暗号化ツールは役に立たなかったか、入っていなかったようで(笑)

私個人は、会社の名刺なんてものは個人情報ではないと思ってます。いや、個人情報かもしれないけれどわざわざ世の中の会社が死にものぐるいで守るほどのものじゃないかと。そもそも、営業マンにとって名刺は、流失したっていいからバラマキたいレベルのものです。流失して何が困るかと言えば、せいぜいマンションや先物の勧誘電話がかかってきたら困る位のもの。

いわゆる個人の住所とか電話とか生年月日のような本当のセンシティブ情報と会社の名刺を一緒に考える時点で、この国の政治はどうかしてます。名刺の悪用を防ぎたければ、単純に勧誘電話を禁止してしまえばいいだけ。不動産業界と先物業界とゴルフ会員権業界は困るかもしれませんが、それによって多くのB2Bの会社は本業に専念できたはず。我が社で言えば、個人株主様の情報を守ることだけに注意して、あとはいかに物を売るかにエネルギーを注げばよかったのです。こんな無駄が日本中の企業で起こったわけで、そんなことやってりゃ日本の企業力は落ちても仕方ないかも。

社内の喫煙所を「アウトソーシング」？

情報システムと関係ない話で申し訳ない。

私は喫煙者なのですが、このご時世、日々申し訳なさを感じながらタバコを吸ってます。社内には喫煙所が一応あるので、仕事中はそこでぷかぷか吸ってます。

一方、会社の周りの公園には灰皿がおいてあります。昼夜を問わず、サラリーマンがたむろしてタバコを吸っています。どうやら、公園の前にある会社の社員がオフィスから出てきては吸ってるようです。オフィスの中に喫煙スペースがないか、足りてないんでしょう。

・・・そんな会社の経営者にいいたい。公園はおたくの会社の喫煙所ですか、と。自分の会社の社員達が昼夜を問わず、公園で大量の煙を吐いていることに関して何も感じることはありませんか、と。社内を分煙したいのはわかる、だからといってかわりに公園を占領していいはずないと思うのですが。

で、なぜこんなことを書いたかというと、会社の周りの公園で煙を吐く人々、どう見てもシステム屋さんにしか見えないのです。ICカードを首からぶらさげて、同僚と「○×銀行はなかなか○×の定義が云々」と愚痴ってるんですな・・・おいおい。

ベンダーさんからの電話

私の課には一日2～3件の新規アポ取り電話がかかってきます。電話帳に載せていない直通電話の番号をどうやって調べたか不思議だったりしますが、代表電話にかかってきて総務の手を煩わせるよりいいような気も。そして、新規の電話を受け、場合によりお会いするのもまた私の仕事。

ちょいと困る電話

• 何を売りたいのかわからない・・・「詳しいことはお邪魔した際に」とか「独立系ですのでノートパソコン１台からシステム構築まで」と言われると、ちょいと困ります。新規のベンダーさんとお会いするのは確かに私の仕事ですが、でもそれは私の本分ってわけでもないので、ほかにやるべきことはたんとあります。全てのベンダーさんとお会いするわけにもいかないため、抽象的なお話は判断に困るのです。
• テレアポ会社に委託しているベンダーさん・・・商品の説明はできない、軽くお断りしたくらいじゃ引き下がらないテレアポ嬢。彼女たちにとっては「何件アポを取れるか」が全てなのはわかりますが。心苦しいながらもお断りするしかありません。
• 先に資料を送ってから電話をかけてくるベンダーさん・・・「先日FAXをお送りしましたが見ていただけたでしょうか」から始まります。確かに、いきなり電話をかけてくるより若干親切なような気もします。しかし！そんな資料が各社さんから届いて山積みになっています。とてもじゃないが全ての資料を根気よく見ておく訳にもいかないのです。申し訳ない。
• 親会社子会社孫会社が入り乱れて営業攻勢をかけているベンダーさん・・・グループ内で競合する場合は悩んでしまいます。んーと、今回はどこに見積を依頼すれば（笑）ちなみに、某巨大グループに勤める私の友人によれば、グループ内の企業どうしで官公庁の入札を競うこともあるとか。
• 「責任者の方はいらっしゃいますか」というベンダーさん・・・いきなり電話をかけてきて用件も言わず「情報システムの責任者の方はいらっしゃいますか」。確かに営業マンからすれば、責任者に話をするのが手っ取り早い。でも逆の立場になったときあんたは用件も聞かずほいほい上司に取り次ぐのか？と聞いてやりたいような気も。えー、ちなみに私はそういうタイプです（爆）責任者を出せ、と言われればさっさと取り次ぎます。責任者は電話に出るなり「忙しいので結構です。失礼します、はいどうも」と言って電話切っちゃうだけですが。