チェックシートで情報漏洩

お仕事を長くやっていると周囲を巻き込むことは多々あるが、巻き込まれることもある。お互い様であるし、巻き込まれは自分の専門性をそれなりに認知を受けたことの証左であるから、ある意味まずまずなのかもしれない。

その観点で言えば、都合のよりリソースであるという認識はそうした専門性を認知される前の方が高く、おじさんになると減っていく。おじさんがニコニコと手が足らなかったら気兼ねなく呼んでねというのは頼られることの機会創出であることはここだけにしておきたい。

そうした巻き込まれ仕事の中に取引先からのチェックシートを見て欲しいというときがある。これが割と意味不明なものが多い。

例えば、次のチェックリストはとても馬鹿げていることがわかるだろうか。

 

1)情報セキュリティ

 以下の設問すべて、貴社の行なっている情報セキュリティの対策をご回答ください。

A)取得しているセキュリティの認証をご記入ください。

  ①ISO27001 ②プライバシマーク

 :

Z)従業員にセキュリティの研修を実施しているかご記入ください。 

  ①はい ②いいえ

 

端的に言えば、A)で認証を受けていると回答すれば、Z)は聞く必要はない。なぜなら、ISO27001でもプライバシマークでもマネジメントシステムとして教育を要求しているからである。

認証を取得しているのに教育を行なっていなければ外部審査で指摘されるし、ひどければ認証は継続されない。仮にやっていないのにやっていると虚偽なエビデンスを出していれば、日々の事業でインシデントを多発しているだろうし、第一、情報リテラシが低いからコンタクトしてきた営業やエンジニアの様子でお察しである。

 

さらに、次の質問をするということは、チェックシートを送ってきた組織で設問の装置があると言っているようなものだ。

 

L)IPS/IDSを導入している。

 :

P)Webフィルタリングを導入している。

 

それに、チェックシートを送ってきた組織がIT企業なら、そこのエンジニアはフィルタリングをかけられて、ネット上の技術情報やWebサービスにアクセスできなかったり、新しいサービスは逆にガバガバだったりするのだろうなと思ったりしなくもない。

 

別の見方をすると、たくさんの対策をしているかを尋ねている組織でセキュリティインシデントがあった場合、多重の対策は実は意味がないことの証明のようなもので、それと同じようなことを求めるのはおかしな話である。

あと、こうした対策を確認するということは、問い合わせを行なっている組織と同じセキュリティレベルかを確認する目的がある。つまり、チェックシートで対策の手の内をバラしているようなものである。

それはさておき、チェックシートで聞いたことに意味がなさそうな形ばかりの回答を確認するような組織はあとあとめんどくさい人が出てきそうでこわいこわい。

 

 

タニタ はかり スケール 料理 洗える 2kg 0.1g ホワイト KJ-212 WH

タニタ はかり スケール 料理 洗える 2kg 0.1g ホワイト KJ-212 WH