会社のネットワークにアクセス制限をかけて仕事した気になってる勘違い野郎は現世の人生はもう諦めろ


シンジです。タイトル長すぎましたが、まぁ大手企業になればなるほど、社員はインターネットからの締め出しを食らうわけです。やれあのサイトはアクセスできない、やれここにアクセスしたければ稟議書を書け。こんなことしてお給料頂いている大人がいるっていうんだから、仕事ってちょろいですよね。

悲しいかな、時代は変わったのだよ

ITリテラシーの低い社員達に対して、危険なWebサイトへのアクセスを禁止することで、会社はインターネットを活用しつつも、「とあるWebサイトにアクセスするだけでウイルスに感染する」、という危険から自分たちを守っていた時代があったんですね。ちなみにこれを「ウェブレピュテーション」と言いますが、もちろんこの技術そのものは現存していて、現役です。変わったのは運用方法にあります。

アクセス制限の意味が変わってきた

そもそもですね、このインターネット時代に、危険なWebサイトかどうか判断し続けることなんて不可能なんですよ。毎日、毎秒単位で、とんでもない、想像を絶する数のウイルスが作成され、そしてWebサイトが開設されていくのです。もしアクセス制限をかけている担当者さんがこの記事を読んでいるならば、あなたはこの「危険なWebサイト」全てを常にブロックし続けなければ、会社を守っているとは言えないのでは?このブログ読んでる暇あるならブロックした方がいいと思いますよ。1日で数十万件以上はありますけどね。まぁせいぜいマウスポチポチしてください。

つまりアクセス制限は、会社にとって都合の悪いWebサイトへのアクセスを禁止させるという方向に変わっているのです。

実害があるかどうかなんてどうでもいいのです。とにかく都合の悪そうなものは、思いついたところからブロックしていくのです。そう、思いついたところから。

社員は、管理者が思いつかないところを探し始めます。

「あれ?これはアクセスできるぞ。じゃあこっちを使おう。」

ITリテラシーが低くても、毎日ポチポチしてたら、いつかは気づくものです。管理者の思いつかなかった何かを。そしていつかは生まれてしまうのです。管理者が想定していないサービスが。つまりそれはクラウドにあります。

突如はじまるイタチごっこin社内

さて、ITリテラシーが天才的に高い人はどうしているのでしょうか。管理者の思ったとおりに、管理者の手の平で踊らされているのでしょうか。こういう部類の天才達は、自分の仕事を効率よく進めるために「なんでも」やります。そう、つまりそれは俺です。

管理者は必死になって新たに生まれるクラウドサービス達を探し出し、ブロックします。毎日毎日ブロックします。社員達も負けじと利便性の高いサービスを探し出して社内に広めていきます。

これを「シャドーIT」と呼びます。

シャドーITの危険性、分かってますかね

その名の通り、隠されたITなわけで、管理者の知らないところで会社の情報がやりとりされる可能性があるわけです。社員は高いモチベーションでシャドーITを行いません。通常使いたいと思ったクラウドサービスが禁止されているから、やむを得ずよく知らないけどそれっぽいクラウドサービスを使って迂回しようとします。

その社員は、自分が扱っている情報の価値や法的拘束力を把握していません。

ところが、なんと面白い事に、管理者でさえも社内に存在する情報の価値と法的拘束力を把握していません。

とあるデータによれば(ソース忘れた)、いち企業の管理者が把握している、つまり、統制できているデータは、全体の10%に過ぎないと言われています。

たった10%しか統制できていないのに、内部統制委員会だとか、セキュリティ何とか室だとか、えらそうな組織でそれっぽくお給料もらってる連中がいるらしいですよ?

時代はクラウドですよ。予想を遥かに上回る速度で世界が変わっていくのです。どんどん新しいインターネットサービスが提供されるのです。それをいちいちブロックしてるんですから、可笑しいですよね。

そもそもインターネット使わなくても、脳にある記憶からデータを作り出すことなんて簡単ですよね。オフラインであっても情報資産は作り出せるのです。

経営者さん、このブログ見てますか?たった10%しか統制できていないそんな連中、全員切った方が良いですよ。俺1人で全員分の仕事を10倍の速度で終わらせますよ。保障はしませんが(ぇw

シャドーITを撲滅させるにはどうするのか

ウェブレピュテーションの話しに戻します。とあるWebサイトへのアクセスを禁止したいと思ったときには、いくつかの方法があり、企業のスタイルに合わせて選択します。

まぁそこは適当に調べてもらって、現在の主流はエンドポイントです。エンドポイントとは、専用のソフトウェアをパソコンなどにインストールして、そいつが定期的に最新のルールをネットワーク経由で取得したりしながら、端末を直接コントロールします。

シンジの経験上、大手企業のレピュテーションは、多くがネットワーク機器側でやっているように感じています。ハッキリ言って、古いです。その機器保守に投資してるなら、株主総会で質問されても土下座しかできないレベルで古いです。

抜け穴なく徹底的に制御するにはエンドポイントコントロールしかありません。断言します。

エンドポイントで何をどうするかが問題

コントロールすべきはハードウェアでなくデータそのものです。スマホのBYODや、端末の持ち出し、様々に飛び交うWifiネットワーク、海外出張、電車やタクシーでの紛失、盗難、言い出したら切りが無いくらいハードウェアの置かれている環境は脆弱かつ「信用」で成り立っています。

シンジは性善説でセキュリティを設計しません。ユーザーを信頼しますが、システムは性悪説で構成します。

もし会社の社長が、ある日突然とち狂って、厳重にアクセス権限が設定されたファイル、例えば公表前の決算データを、それはもう巧妙に自分のスマホへコピーしたのが原因で情報漏洩したとしましょう。

社長は信用できますか?

シンジは信用しないので、そもそも管理者権限を渡しません。これはPCI DSSでも聞かれます。役職がついてるからといって信用できるとは言えません。

社長を信用できないのなら、つまりは誰も、自分すらも信用できないのです。シンジの経験上、この手の事故を起こすのは、ITリテラシーの高い人間なのです。まさかあの人がそんなバカなと思うわけです。その上でデータそのものをどのように制御するか設計していきます。

うっかりとか、悪意なくとか、はいはいワロワロですわ。記者会見開いて頭下げるのは誰なんですかね。ブロックリスト更新するのが仕事じゃなくて、上に頭を下げさせないようにするのが仕事ですよ。

制御すべきはデータ

大きく分けて3つあります。

・ローカルデータ全ての制御(バックアップデータの集中ガバナンス/Druva)
・出口の制御(CASB/キャスビー/クラウドアプリケーションセキュリティブロッカー/Skyhigh/Netskope)
・保管先の統制(BoxやOneDriveやG Suiteなど)

全く出来ていない組織は、まぁ結論、全部やれなのですが、結構大変なので、どこにリスクが高いか判断しながら順を追って対策していきます。

で、これの具体的な話しで登壇します

2017/04/28(金)
第2回すだちくん勉強会
https://animereview.connpass.com/event/52892/

どのように制御されるのか、デモります。
価格も出します。
事例も見せます。
ってかベンダー全部連れてきましょうか。そうしましょう。

まぁ、つまり最強です。

これでシャドーITは、シャドーでなくなります。社員と管理部門のコミュニケーションはより活発化されます。更に会社はITを駆使して業務効率を上げ、同時にセキュリティレベルも上げることができるのです。これが本来あるべき投資の形です。

セキュリティには、正しい投資をしましょう。代理店の言われるがままになってませんか?

もはや宣伝ですが是非お越し下さいまし

2017/04/28(金)
第2回すだちくん勉強会
https://animereview.connpass.com/event/52892/