社内SEの徒然なる日記

子会社との合併に伴うシステム移行 No13 セキュリティ

■ デバイス制御

前回(子会社との合併に伴うシステム移行 No12 開発環境)の話しの続きですが、外部の方に作業してもらうということは、セキュリティという面での考慮が必要です(まぁ、自社の社員でも同じなんですけどね)。

原則として、外部へのデータ持ち出しは禁止(当然、言うまでもない)です。勤め先では、LanScope CATというソフトで外部メディアへの書込みを制御(禁止)しているので、USBなどへの書込みは制限出来ます。

問題は、それ以外をどうするかって事でして・・・

■ インターネット

前回書いた通り、インターネットは開放しました。WEBフィルタリングはしているのですが、禁止しているのはアダルトとか賭け事とかの類いだけ。例えば、gmailとかのWEBメールやオンラインストレージは素通しです。

本来は制限した方が良いのかも知れませんが、ここまで制限すると実業務に支障が出てしまうので開放しています。

手っ取り早いのはインターネットを使えないようにするという手なのですが、インターネットが使えないと開発効率が低下するのは実体験から分かりきっています。

■ データベース

今回の開発はPL/SQLが主体なので、DBサーバにアクセスする必要があります。では、DBサーバ(というか、Oracle)側でセキュリティを意識しているかと言うと、そうでもありません。

WEBシステムなので、Oracleに複数のユーザーを作っている訳でも無いし、開発用DBサーバに入っているデータのマスキングもしていないので、機密データが丸裸です。

まぁ、個人相手の商売をしている訳ではないので、クレジットカード番号とか流出したら洒落にならないデータは存在しないのですが、あまり良い事ではないですよね。

■ 物理セキュリティ

エンジニアがセキュリティを考えると、上で書いたようなシステム面を中心に考えるでしょうが、実際には物理的なセキュリティーについても考慮が必要です。

直接のデータの持ち出しは禁止出来たとしても、写真(スマホ等の機能)、印刷物の持ち出しといった手段は存在します。他にも、窃盗や破壊行為への備えは出来ているのかというと、出来ている訳がありません。

■ 後書き

色々書きましたが、難癖のレベルですね(苦笑)。

原則として、作業効率とセキュリティはトレードオフの関係にある(と思う)ので、厳しくしすぎるのも問題だと思います。要は、扱っている情報の重要度に応じて必要最小限のセキュリティを実装すれば良いって話しなのかな?

話しによると、作業場所に監視カメラを設置したり、パソコンの操作履歴を解析したりする企業もあるそうですが、それが出来るのはセキュリティ対策に力を入れている大企業くらいですよね。少なくとも、私の勤め先では難しいです。

もちろん、守秘義務契約は結んでいるので、情報流出といった事態になった場合には開発委託先の責任ではあるのですが、それで「弊社には一切の責任は無い」とか言うと大炎上しちゃいますしね。面倒な時代になったものです。



前回:子会社との合併に伴うシステム移行 No12 開発環境
次回:子会社との合併に伴うシステム移行 No14 移行処理の設計と移行準備

投稿記事の一覧:http://harikofu.web.fc2.com/

--- blog end ---
スポンサードリンク

PageTop

コメント


管理者にだけ表示を許可する