見出し画像

リーグオブ情シス 第三回 ハイパーリーグ 参加の裏側 第1話?

11/20に開催されたリーグオブ情シス第三回で、視聴者投票1位をいただきました。ありがとうございます。

発表時間と資料内容のバランスが悪く駆け足になった(薄っぺらいのがばれなくてよかった?)こともありますので、反省と補足も兼ねて。資料アップロード先のアカウントがないのでnoteアカウント作りました。第2話以降に続けるつもりですが予定は未定。

当日の資料はこちらからご覧ください。

PPAP問題の対処

画像1

今回、結構過激な「暗号化添付ファイル完全ブロック」という提案にした理由ですが、追加ソリューションの費用が掛からないという分かりやすさに加え、同業他社設定の某社のことでリスク対応強化も受け止められる気配はあるという判断をしていました。エンタメ系企業ならクラウドストレージ禁止組織相手も少なそうという見立て(これは後述しますが、分析結果という筋書きは必要でした)もあります。

という想定でいたら直前1週間の情勢激変は非常にタイムリーでした。

https://ideabox.cio.go.jp/ja/idea/00560/

アイデアが平井大臣に取り上げられ霞が関で廃止方針というインパクトは非常に大きかったですね。NTTグループさん早く迎合してください。

https://www.itmedia.co.jp/news/articles/2011/17/news150.html

方針をまず立てて通す

後で指摘のあったビジネスフローへの悪影響(いままでとやり方が変わることへの対応)や影響範囲の予測は、方針を進めるのであれば確実に必要になりますが、まずは遮断する方針を立てるほうが大事と考えたのもあります。

ここで調査しましょうみたいな話から始めるとなかなか進まないので、実際にPPAPブロックを目指して進めるなら事前にGMailやExchaneOnlineの設定変更して実態分析(補足で設定方法スライドは作ってました)を行うほうが良い(けど、検閲行為ですから独断でやっていいかは別)と思います。

今回のプレゼンでは実態把握済みという展開仮定で構成しきれなかったのは失敗でした。誰に何を通す為かで細かく提案内容の調整は必要ですよね。

運用変更に関する社内向けヘルプやサポートについても触れておいたほうが良いのもご指摘の通りです。これは資料で完全に抜けてました。

freeeさんも発表がほぼ同時(PR効果を考えて繰り上げはあったのかもしれませんが)になっただけで、検討はずっと行っていたようですね。企業イメージとも合致することから こうかは ばつぐんだ!
…なのですがメール送受信相手にPPAPやってそうな組織も多そうですので分析や検討の経緯や今回の決定の決め手は知りたいです。

結局、相手次第になる

画像2


よくあるのが自社でクラウドストレージサービス売ってるのに一切使えない会社…。雁字搦めになって身動き取れない状態ではトップが決断しないとルールは変わらないので、今回の平井大臣のケースを見習ってぜひ決断してほしいです。NTTグループさん早く迎合してください。

PPAPで送っているから安全なんてのはただの迷信なので、今までPPAPやっていたようなものはそのまま添付して送ればいいと思ってます。それで安全性が~とかいうならそもそもPPAPするのが間違ってます。

ISMSやPMSで…というなら例えばJIS Q 27001:2014の「電子的メッセージ通信に含まれた情報は,適切に保護しなければならない。」、これでどうして審査通っちゃうのでしょうか?こういう審査に立ち会う場数が不足しているので疑問が…

元々は電話その他でパスワード別送するという方法だったはずが、パスワードをメールで追加送信するという悪魔合体はどこで誕生したのでしょうね?さらにメールサービスで自動化という三体悪魔合体に至っては…

余談:共有と添付は別物

普通の中小企業だとメール送受信時の添付資料暗号化はあまり考えていなくて、大容量ファイルをメールで送受信しようとして四苦八苦するほうが多いという実感があります。

その時点のスナップショットをコピーして送る添付資料とオリジナルの閲覧権を付与する共有の違いは使ってみないと分かりにくいし、使い分けしたいなーと思うときはあります。クラウドストレージだと共有が打ち出されすぎて前者の扱いが難しいですね。

ということで第1話はこのへんで。


いいなと思ったら応援しよう!