システムを導入するとは?#7(最終章)
いよいよシステム導入も最終章です。生産管理システムの概要を理解し、具体的なシステムを導入方法についてこれまで学んで来ました。
最終章は情報漏洩がテーマで、今のシステムには必要不可欠な要素です。
参考図書
第7章 情報漏えいを起こしてしまったら
~ダメージを最小限に抑える対応法~
第7章の読み方
・会社や組織も含め、情報取扱者にどこまでの備えと覚悟が必要かがテーマ
・情報漏洩が起きてからでは遅い、と良く言われるが、情報を盗む側の技術も日々進化しており100%防ぎ続けることは事実上不可能
・重要な事は、情報漏洩が起きた時、いかに被害を最小限に抑えれる準備をしておくか
・企業経営を左右しかねないセキュリティ対策は、発注者側が責任を持って決めること
引用:システムを「外注」するときに読む本 ISBN 978-4-478-06579-2 P316、317参照
第7章まとめ
・機密情報を扱うシステムでは、情報のトリアージを行い、重大度に合わせた対策を実行できる準備をしておく
・漏えい時の見舞金や補償金の相場は500〜5,000円程度と言われている
・運用担当者にモチベーションを維持してもらうために、必要な待遇改善を検討しキャリアパスも定義する必要がある
・情報漏えい時には、そのシステム自体を捨てる覚悟も必要。たとえ良いシステムでもあまり固執すると企業の信用を損ねたり、再発を起こす可能性もある
引用:システムを「外注」するときに読む本 ISBN 978-4-478-06579-2 P347参照
<7-1>機密性と漏えい時の影響度を基準にした「情報のトリアージ」
・情報のトリアージとは、「情報の機密性の高さ」と「漏えいした時の影響の大きさ」を考慮して分類し、それに応じた対応方針を決めておくこと
・トリアージ(仏:triage)はもともと災害・事故現場などで一時に大勢の負傷者が発生したときに重症度に応じて治療の順番を決めること
引用:システムを「外注」するときに読む本 ISBN 978-4-478-06579-2 P326~329参照
<7-1 所感>
セキュリティリスクは発生するもの。と言う意識を持った早急な事後対策として、レジリエンス(resilience:回復力)が最近はトレンドです。
絶対失敗しないようにする。と言う考え方は我々日本人は大好きです。
情報漏えいとビジネスマインドは別なのでもちろん漏えいが極力ないようにする姿勢と取組みは重要です。失敗を許容するとまでは言いませんが事後対策の優先度を上げてそれも含めて評価していく文化が必要だと思います。
<7-2>セキュリティ対策の立案時に考慮すべき運用担当者の気持ち
・発注企業にとってシステムは本業ではなく、ベンダ側にとってもシステム運用は決して楽しい仕事ではない。担当者はいつやる気を失って悪さするか分からない
・システム担当者のモチベーションを維持する視点もセキュリティ対策では必要な項目
・ジョブローテーションや特別手当のようなものと、システム運用の担当が終わったあとのキャリアパスを示す事も重要
・システム運用やセキュリティ運営をするのは人間
引用:システムを「外注」するときに読む本 ISBN 978-4-478-06579-2 P330~335参照
<7-2 所感>
相変わらずこの本は素晴らしいです。
セキュリティ対策、システム運用をするのも人間。その人たちの気持ちやモチベーションも考慮した対策案が必要との視点はとても重要です。
セキュリティは運用とシステムの二つの面から考える必要があります。
運用はルール作りであり、このルールは業務のやり易さとやりにくさのトレードオフです。
ルールをガチガチにするほど運用業務はやりにくくなり担当者の負荷を高めます。
システムを作るまでよりも作ってからの方が大変だと改めて痛感しました。