記事探訪

このエントリーをはてなブックマークに追加

将来の情報源として

何気ない記事だが、それが振り返ってみると予兆であることも多い。 このブロックでは、単独の記事を取り上げることもあるし、記事から誘引されるさまざまな問題提起を記載することもある。 今は使い道はないかもしれないが、将来の情報源として記載してゆく。 2017年10月5日

記事探索の効用

流れ入ってくる情報だけで無く、自ら探して行く姿勢も必要になる。 情報は常に欠損しているならそれを補完する情報は自ら探しに行かないといけない 2018年12月13日  

記事一覧

2019年11月15日
シャドーITに思うこと
2019年11月11日
コンプライアンスの問題は企業の未来を左右しかねない
2019年11月9日
リンガーハットにみる戦略の難しさ
2019年11月2日
「安どと不満の声 英語民間試験延期 教育現場から」を見て
2019年11月1日
「子会社統合や調達資金増 アイシンも急ぐCASE対応」について
2019年10月31日
適者生存:環境に適応したものだけが生き残れる
2019年10月31日
「Cookie」自体は無効化できる。でもほとんどしないかな?
2019年10月29日
ダイソンのEV撤退でみる「I have a dream」はそう簡単ではないと言う事実
› 続きを読む

最新記事

シャドーITに思うこと

久しぶりにセキュリティの話を探ってみた

■ 浦島太郎
もともと情報セキュリティはITの一分野なので興味というか仕事の一分野として認識していた。結局は返上したが「ISMSの審査員」の資格まで保有していた。
返上した理由は、それまで一部ホスティングサービスの利用はあったものの、オンプロミスが主流だったものが急激にクラウドに移行し始めたことがある。
情報セキュリティの原則としてCIAがある。
有名な基準なので引用しておく。

機密性 (confidentiality)
許可されていない個人、エンティティ又はプロセスに対して、情報を使用不可又は非公開にする特性

完全性(integrity)
資産の正確さおよび完全さを保護する特性

可用性 (availability)
許可されたエンティティが要求した時に、アクセスおよび使用が可能である特性

さて、クラウドサービスを使うと云うことはどういうことだろうか。昨今のいろいろな自己を見ていると漏洩リスクや第三者への公開事故がないとはとても云えない。また滅多にはないのだがデータの消失リスクも存在する。そんな中で、CIAの基準で見ると、他社が見れないとしてもクラウドサーバーの管理者は「する/しない」は別にしてもデータ操作が可能なことには変わりない。機密性が担保できているとは云えない。
そうした中で、こうした技術を背景としたISMSの構築はどうあるべきかの議論が難しく、自分自身が正解を持てないこともあり、審査の世界から離脱した。

今回、プライバシーマークの取得の支援を行うという宣言をしたものの、IT技術が大きく変貌を遂げており当時の知識ではカバーできないことも多いことに気がついた。

浦島太郎の気分だ。

■ 情報部門の憂鬱

聞き慣れない言葉「シャドーIT」という言葉を聞いた。

ウィキペディアによれば
「企業・組織側が把握せずに従業員または部門が業務に利用しているデバイスやクラウドサービスなどのITのこと」
とされている。

BYODとあまり区別はつかないが、スマホが普及し始めたあたりから問題視されてきている。
今でも状況は変わらないのかと思ったら、かえって悪化しているようだ。

https://cybersecurity-jp.com/security-measures/28258
シャドーITとは?企業におけるリスクの種類とその対策方法を徹底解説

・社員が会社のネットワークを無視してメールをする。
gmailなどはその代表だろう。
・組織のプラットフォーム以外でワークフローを展開する
FaceBook(コミュニケーション)、SanSan(名刺管理)、Googleグループ、インターネットの経理システムなどいろいろある。

かつてEUC(End User Computing)などとほざいていたのが幻かのように利用者は勝手にITの活用をしている。

情報システム部門はどんな逃げ道を用意すべきなのだろうか。
こうしたクラウドサービスを使うときのガイドライン(罰則も入れること)をつくる以外に手はないのだろうか。
組織の管理下に置くことを前提にいくらルールを設けようと、ユーザーが勝手に使うことを止める方法はない。

やっかいだろうなぁ・・・

› 続きを読む