現実とはそういうものらしい。

　先日、ウチのお偉いさんのPCの弄ったときの話。

　自宅用と持ち運び用に計2台、社有ノートPCを使っているとのこと。秘書さんから、あるアプリケーションのインストールが上手く行かないとのことでヘルプ依頼が来た、という状況。アプリケーションのインストール自体はインストーラの圧縮アーカイブの展開が失敗していただけで、すぐに解決した。

　ついでにWindowsのセキュリティアップデートを掛けてやろうとしたら（※）、驚愕した。

※この時点では「少しは未適用パッチ、溜まってんだろうな」くらいの認識。

　ウチの会社では、WindowsOSやMicrosoft Office、アンチウィルスソフト等につき、バージョンとセキュリティアップデートの状況監視を行い、適用すべきアップデートファイルがあるときにそれを告知、適用を促す仕組みがある。コイツの最終アップデート記録が両機とも昨年8月末で止まっていたのである。


　監視用の常駐ソフトが社内イントラにある監視サーバと情報交換して実現しているシステムなので、当然社内イントラに繋いでいないと告知も監視も働かない。外部からVPNで社内へリモートアクセスしたときに情報更新は可能なハズだが、監視サーバとの通信は手動で実行しない限りは原則としてOS起動時なので（※）、そこまではしてなかったのだろう。念のためWindows Updateを手動で掛けていたかどうかを確認したが、予想通りそんなことはなく。

※根本的に自動通信がOS起動時、もしくは日次で定刻（設定した時間）のいずれかかしか選択できないこの仕様自体が問題だとは思うが。

　何が問題って、この人、実質ウチの組織のトップで、組織内のセキュリティ施策の徹底を指示した、要するに「言い出しっぺ」なのである。

　これはそもそも、社内で顧客情報が漏洩した事件（但し子会社の外注から、だが）があったせいだが、指示自体は仕方無いとは思う。社内基準よりも数段厳しい施策を徹底したいのも、客との関係ではやむを得ないだろう。散々怒られているはずだし。立場上そう指示する他ないことについては同情する。

　問題は、指示と自分の行動（というか、『不作為』）に著しい乖離があることだ。

　本人は技術系出身らしいが、だから何から何まで自分でやれ、と言うつもりは毛頭ない。そこまでの知識を持っているかは疑問だし、何より多忙極まりないからだ。だが、知らないなら知らないなりの、多忙なら多忙なりの、「振る舞い方」というものがあろう、と個人的には思うのである。

　この間、セキュリティ施策で問題になっているのは「下に厳しく、上には甘く」。だが、現場営業やSE等と同等以上にお偉いさんは重要情報を握っているのであって、その意味では一介のヒラ社員などより一層、気を付けなければいけないはずだ。それがこの有様である。情報セキュリティの責任者もいるが、下にはビシバシ言うくせに、上の管理がちっともなっちゃいないというのが実情。根本的に押さえるトコロを勘違いしているとしか思えない。これでは「示し」が付かない。

　問題の解決自体は簡単で、自分でセキュリティアップデートを定期的に手動で掛けるようにするか、それが面倒なら1ヶ月に1度くらいの頻度でPCを持ってきて、作業をこっちに投げればいいんである。難しいことはない。これだけの話。これは秘書さんを通して進言し、協力を依頼した。

　いくら暗号化だアクセスコントロールだ、データの秘匿化だを進めたところで、こういう人的要素は別にきちっと徹底しないと、情報セキュリティ上は何の意味もなかったりする。歯がゆいのは、これが分かってない連中が情報セキュリティ担当者なんぞをやっている場合が多いことなのである。