「何のためのセキュリティなのか」…を改めて考えさせられる出来事があったんです。
実は私、3台のPCを持つ羽目になっておりまして、個人事業用PCと、業務委託してもらっている2社(A社、B社)からそれぞれ貸与してもらっているPC。
できれば個人事業用PCに集約したかったのですが、「自社業務は自社PCで」やら、「情報漏えいリスクが高まる」やら、「個人の要望(=わがまま?)で管理に例外はつくれない」とやらで、各々のPC管理者からは〝何をかいわんや!〟と一蹴。まぁセキュリティ的には〝一見〟ごもっともな対応ですけど。
しかしA社、B社のPCはツールの差こそあれ、自社のデータを守るためのセキュリティ対策がバッチリ。そのため困ったことはたくさん。卑近な例でいうと、
- メールが1ヶ所(1つのPC、または1つのスマホ)に集約できない。自社ドメインと異なるドメインへの転送が禁止。せめて通知だけでも…ダメー。
- スケジュールが1ヶ所(1つのPC、または1つのスマホ)に集約できない。他ドメインのスケジュールとは連携できない。
- なにより私のノウハウが詰まった個人事業用PCとデータ連携ができない。貸与PCはUSB禁止、クラウドストレージには自社ドメインからしかアクセスできない。
- Officeなどビジネスソフトウェアのバージョンが違うので、こちらのPCでできることが、あちらのPCではできない。
などなど、自社のデータを守るためとはいえ、私のようなワークスタイルには不便なことや業務の生産性を阻害することが多すぎ。
それでも委託していただいているので我慢してましたよ。
ところが今日ついに爆発! 昨日まで見えていたA社のファイルサーバのフォルダの一部が見えない! そこには担当している顧客データを保存しており、これでは仕事ができないではないか。
あわててマネジメントに問い合わせすると、しばらくして「フォルダのアクセス権を見直したらしい」との事。
えっ、何も聞いてないけど!
- 正社員と業務委託でアクセスできるデータに差をつけるわけ? 正社員と同じ仕事してるのに?
- 我慢して制約の多いA社貸与PC使ってるのに、そのうえさらにアクセス権限に差をつける意図不明?
- そもそも事前になにも説明なしってどういうこと?
- マネジメントはじめ、どうして正社員は誰も声をあげない? 前世代的な処置をおかしいと思わないのか?所詮他人事なのか?
だから…、声を大にして伝えたい。
セキュリティ管理を優先した結果、ユーザ(この場合は私)には負担を強要することになり、私自身が身を持って体験した〝ユーザの立場に立たない、自組織を守るだけの管理策は、結局、リスクを包含してしまう〟ということを!
- 会社はお客様があって成り立っているのだよ!
- 業務効率を阻害するセキュリティ強化は本末転倒。安心安全に業務を遂行できる環境こそセキュリティだろ!
- 厳しすぎるルールの下では、人は〝抜け道〟を探すよ!
今は私のような働き方が特殊なのかもしれませんが、Life Shift の時代、同じような課題はあちこち出てくるでしょうね。みなさん、お気を付け下さい。
(ま)