企業の中で情報セキュリティに関する業務は膨大にあります。インターネットに接続されている公開サーバーへのパッチ適用、新しいセキュリティシステムの情報収集・評価、従業員のセキュリティ教育、あげくの果てには携帯電話の紛失対応まで、休むことなく業務は発生します。
セキュリティを担当しているというと、最先端でカッコいいように思われがちですが、多くの仕事は各部署や、システム開発部門、データセンターなどとの間での調整や、クレームや教育などの従業員対応、そしてセキュリティ管理者としての承認業務などの、いわゆる「セキュリティ庶務」であるのが実際の現場ではないでしょうか。
例えば、サーバーにパッチを適用する作業なら、実際のシステム運用の現場では、テスト機に導入して動作を確認したり、システムベンダーに問い合わせる調整業務が発生したりします。オフィスで使用しているアプリケーションに脆弱性のパッチが公開されたら、それを適用してもらうように社員にメールを流したり、あるいは自動でパッチを適用できるように設定したりしなければなりません。
そして何より面倒なことが「ユーザーからのクレーム対応」ではないでしょうか。「パッチを当てたら文書が開けなくなった」くらいならまだしも、アクセス制御を変更すると「今まで使えていたオンラインゲームにアクセスできなくなった」などというクレームにまで対応しなければならなくなります。
そうこうしているうちに「従業員教育」の時期がやってきます。これはセキュリティ担当者がもっともやりたくない仕事の一つかもしれません。聞きにくる社員たちは「早く終わんないかなー」「忙しいんだけど」などとぶつくさ文句を言いながら集まってきます。そんな社員に教育するために、はるばる出張して全国行脚している方も少なくないでしょう。
セキュリティマネジメント重視の会社では、往々にして「××禁止ルール」が多いものです。つまり、ルール上で禁止しておき、その周知徹底を図るというものです。しかも、ほとんどの会社でセキュリティポリシーあるいはセキュリティルールは、追加されることはあっても削減されることはありません。何かしらの情報セキュリティに関連する事件や事故が社内あるいは社外で起きる度に追加されるからです。その追加作業を仕事としている方もいるようです。禁止ルールがあると、セキュリティ担当者にはその普及啓発に努めなければなりません。
このようにセキュリティ庶務に追われる毎日になってはいないでしょうか?
