救世主あらわる?!
最近、ベンダーの「中小企業ひとり情シスを支援する」的なサービス開始記事をよく目にします。すごく期待して見るのですが、大抵ハードとセキュリティ止まりです。
ベンダーさん、そこじゃないんですよ~(笑)
もちろんどちらも大事かもしれませんが、ひとり情シスとしては敢えて手をつけていなかったり、軽くさばいているところなんです。
何故なら、中途半端に手をつけると、ものすごく仕事が増えてしまうからです。
そうすると他のことができなくなります。
ひとり情シス業務のレーダーチャートが崩れてしまうんです。
特にセキュリティはやりだすと際限がありません。
セキュリティだけ10点になっても、そのせいで他が1点になります。
情シス全体としては破綻です。

ひとり情シスの仕事としては、基幹システムからエクスポートしたデータの集計とか、マスタメンテナンスとか、業務的なところのほうが重たいです。
手をつけないわけにいかず、さらに軽くさばくのも難しいところなんです。
まずはレーダーチャートの形を整える。
サイズは小さくてもいいから、大きな弱点を消す。
そして余裕ができたら、少しずつサイズを大きくしていく。
これがひとり情シスを長く続けるポイントです。

セキュリティへの基本スタンス
というわけで、セキュリティに対しての、中小企業ひとり情シスの基本スタンスは、・最低限の手数で落ち着かせる
・寝た子は起こさない
になります。
余裕ができて、他にやることがなくなったら、戻ってきて上のレベルを目指す、そんな感じです。
たぶんしばらく戻ってこないと思いますが(笑)
セキュリティポリシー的な
ひとり情シスとしては手をつけたくないのですが、取引先や経営層など、外的要因で「ポリシーを作れ!」「規程を作れ!」となることがあります。
(ひとり情シスを放置している時点で、経営層も外敵、もとい外的です)
というより、作るきっかけはほとんどこの流れでしょう。
その際、各項目を一から積み上げて作ろうとすると、必ず抜け・漏れ、偏りが発生します。
私は以下の情報を利用させていただいております。
情報セキュリティポリシーサンプル改版(1.0版)
全てのジャンルを網羅していて、非常にありがたい情報です。
上記サンプルから、自分の会社で適用できそうな部分だけをピックアップしていきます。
中小企業ではほとんどピックアップできないかもしれませんが・・・
最初は無理せず、確実にできることだけ抽出します。少し緩いかな、というくらいで良いです。
セキュリティと利便性はトレードオフです。セキュリティのせいで日常業務が回らなくなると本末転倒です。
100点満点主義は危険です。会社全体の業務のレーダーチャートが崩れます。
知っててあえて100点を狙わないんです。
もしガバナンスレベルが上がってくれば、随時サンプルから抜き出して追加すれば良いのです。
最初はスカスカな内容になると思いますが、何もないよりはマシです。
これがあるだけで「セキュリティポリシーがある」と言い張れます。
経営層から内容を突っ込まれても、上記サンプルが根拠ですと言えます。
「ひとり情シスがネットで調べながら作りました」などと言うと訝しげな顔をされます。
権威に頼りましょう。権威には弱い人が多いです。
監査法人など外部の人にしつこく食いつかれたら、
「利便性とのバランスでこうしている。業務が回らなくなって倒産したら、おたく責任取ってくれるの?」
と最後は言えば良いのです。
(たぶん外部の人のほうがまともな視点を持っているので、食いつかれないと思います)
セキュリティって、言ってること全部正しいんですよね。
でも正論がゆえにタチが悪い。
水清ければ魚棲まず。
人生には、グレーをグレーのままにしておいたほうが幸せなことが多いでしょう。
見えてるけど、敢えて見えないふりをして触れない、その味わい深さよ(笑)
ベンダーさん、お願いなので中途半端にかき回さないでください。
せっかく泥が沈殿するのを待っていたのに、水がまた濁ってしまいます。
適当にハードとセキュリティでお茶を濁すくせに、「ひとり情シスを支援します」とか軽く言わないでいただきたい。
ベンダーさんはわかっているんですよね。
面倒で儲けにならないから、情シス仕事の本質的なところには手を出してこない。
会社経営としては正しい判断ですよね。
でも、いい加減本質から目を逸らすのやめたら?(笑)