1 セキュリティって何??IT業界はじめの一歩
「セキュリティ」 聞いたことはある思います。防犯、そんなイメージでしょうか。
IT業界において「セキュリティ」とは必ずしも「防犯」を指すものではなく、「情報セキュリティ」を指すものだと理解して下さい。
情報セキュリティとは、企業の情報システムを取り巻くさまざまな脅威から、情報資産を機密性・完全性・可用性(三大要件)の確保を行いつつ、正常に維持すること。
-日本セキュリティネットワーク協会「情報セキュリティの三大要件」より-
要は、 「情報を漏らさないこと」 これが情報セキュリティです。
2 その対象は?
では、持ち出してはいけないもの。Q&A方式で行きましょう。
Q システムの設計書は持って帰っても...?
A ダメです。
Q 制作途中のテスト仕様書、続きは家でやっていいですか?
A ダメです。
Q 今日、先輩に教えてもらったことをメモしたノートを自宅で復習だ!
A 内容に依るのですが、基本的には現場において帰ってください。
Q インターネットで使いやすいテキストエディタをダウンロードして作業効率UPだ!
A インターネット上からは如何なるものも勝手にダウンロードしてはいけません。
お分かりでしょうか?
システム開発・インフラ構築に関する現場資料は全て持って帰ってはいけません!
自分でメモをしたノートですら、持ち帰ってはいけません。
現場のPCは自分のものではありません。
ダウンロード等が必要なものは、基本的にプロジェクトのローカルエリアに用意されています。
どうしてもネットから入手する必要がある場合、上長に確認しましょう!
3 セキュリティ事故とは?
IT業界で働く者にとって最も注意するべきことの1つがコレ。
「企業(現場)の情報が漏洩すること。」
これがセキュリティ事故と呼ばれるものです。
4 え!?これもセキュリティ事故なの?
『セキュリティ事故を起こさないようにするには、現場から何も持って帰らなければOK?』
と考える貴方はセキュリティについて何もわかっていない未熟者ですね。
しっかり勉強しましょう。
今度はクイズ形式で行きます。
以下の行動がセキュリティ事故かそうでないかを考えて下さい。
Q1 入退場に使うセキュリティカードを失くした。
A1 セキュリティ事故です。言語道断です。
セキュリティカードは常に肌身離さずの感覚でも大袈裟ではないです。
鞄に入れる際は鞄を肩掛けにするのではなく、たすき掛けにしましょう。
電車の網棚に載せるなんてのはもってのほかです。
Q2 自分の携帯電話をなくした。
A2 セキュリティ事故になり得る可能性があります。
電話帳の中に会社名・役職・氏名が登録されていた場合、セキュリティ事故です。
[株式会社Lysis 代表取締役 杉本さん]で登録してはいけません。
[L社 杉本さん]で登録するようにしましょう。
Q3 営業さんから日報メールに現場でやったことを記載するよう言われたので、自分の書いたソースをコピペした。
A3 セキュリティ事故です。
営業の指示とはいえお客様のシステムのソースを外部に送ってはいけません。
もし、営業から作業報告を求められた場合は報告内容をよく確認しましょう。
Q4 セキュリティカードを家に忘れた為、先輩の後ろにくっついてカードを使わず入室した。
A4 完全にセキュリティ事故です。
上記の行動は「共連れ」と呼ばれる行為で、絶対にやってはいけません。
実際にあったケースでは、「納期が迫っていたため」というそれなりの理由があったようですが、
多くの部署を巻き込んで大問題になりました。
故意に情報を漏らすことのできる行動の為、罪が重いと認識してください。
Q5 携帯の充電の為、PCにUSBケーブルをつなぎ充電した。
A5 セキュリティ事故です。
多くの企業で、PCに不明なデバイスを繋いだ瞬間にアラートがあがるようになっています。
携帯の充電は電源パットから行ってください。
というよりも、そもそも現場で充電しないでください。
挙げればキリがないのでこれくらいにしておきますが、「え!これで事故!?」と思うようなこともあったはず。 知らないから難しいだけで、知ってしまえばそんなに難しくないです。
「お客様の情報が漏洩する可能性のある行動はしないこと」だけです。
5 セキュリティ事故を起こすとどうなる??
・参画中のプロジェクトから退場を命じられる
・今後一切の取引停止
・会社に責任を求められ、損害賠償が発生する
一言で言うと「最悪の事態」です。
ひとりのミスで、会社全体の信用失墜につながります。 自分自身の問題だけで済む話ではないということをよく理解しましょう。
6 もしセキュリティ事故を起こしたらどうすれば良い??
起こしてはいけないセキュリティ事故ですが、起こしてしまったとき、 どうすれば良いのでしょうか。
Q.日曜日の朝、SC(セキュリティカード)が無いことに気づきました。下記の行動で正しいのはどれ?
1,思い当たる失くした可能性のある場所を全て探す。
2,現場がお休みの為、所属会社営業にSCを紛失した旨をすぐに報告。
3,現場の上長にSCを紛失した旨をすぐに報告。
4,現場の総責任者にSCを紛失した旨をすぐに報告。
正解は、、、3 「現場の上長にSCを紛失した旨をすぐに報告。」です。
とにかく急いで報告し指示を仰ぐことが重要です。
所属会社の営業や現場の総責任者への報告は、完全に間違いという訳ではないのですが、 まずは直属の上長に報告しましょう。
起こしてはいけないことですが、起きてしまったことは仕方がありません。
迅速な報告を行い、最善策が打てるよう行動しましょう。
駆け足で説明しましたが、「セキュリティ対策」について、 ある程度理解して頂けたでしょうか?
IT業界で働いていく以上、常に頭の片隅に入れておいてください。