「カフェでリモートワーク」問題に見るセキュリティと、負の契約のスパイラル
カフェなどで仕事をするノマドワーカーという言葉が流行したのが2012年のことです。
その後、フリーランスも一般化し、リモートワークの定着もあってカフェやコワーキングスペースで仕事をする方が増えてきました。
お兄さん、
— 久松剛(IT怪談師)ITエンジニア採用・定着・活躍本発売中 (@makaibito) July 30, 2022
カフェなのにパソコンが無防備過ぎて#自社サービスブレスト
チャンネル丸見えだよ…
そんな中、ある未経験向けエンジニア・マーケティングサロン運営者が下記のような投稿をしていました。「何が悪いんだ」という声と「これだからフリーランスには発注できない」という声が入り乱れ、炎上に発展していました。
セキュリティの観点から『スタバでPC開くのはよくない』と主張する人達、だいたい盗む価値のあるようなデータ持ってない
今回はセキュリティやITリテラシの話と、どう初学者や未経験者に教育をしていくのかという難しさについてお話します。在籍していた企業で上場時の個人情報管理責任者だったり、セキュリティ教育担当だったりしたこともあり、その点からもお話します。
データ公開の可否は発注者・雇用者が決め、データの価値は盗人が決める
カフェでのセキュリティ問題があちこちで炎上してるけど、基本的にデータの価値があるかどうかは受注者が決めるのではなくて、発注者や雇用主が決めるもの。自己判断で「見られてOK」とはならない。心配しなくても概ねアウト。
— 久松剛(IT怪談師)ITエンジニア採用・定着・活躍本発売中 (@makaibito) August 7, 2022
見られて困るものかどうかは当人が決めるものではありません。発注者や雇用主が決めるものです。
カフェやオープンスペースの場合、ショルダーハックと呼ばれる肩越しにディスプレイに表示された情報や、キーボードタイプを見られることによるパスワード漏洩が懸念されます。
物理的な端末の盗難は論外ですが、個人情報は6年前には既にブラックマーケットで売り捌かれるものとされています。
取引先や雇用主に損害を与える可能性があることから、たとえ紛失したものが自身のスマホやPCであっても、それらに残したデータが取引先や雇用主に関わるものであれば速やかに連絡しなければなりません。早ければ情シスが対応できる可能性もあります。一番よろしくないのが「関係各所に連絡する前に頑張って探してしまう」というケースです。多くの場合、探しているうちに悪意のある人が攻撃を進めてしまいます。
セキュリティとイノベーションの履き違え
このTwitter投稿に関連して「日本はセキュリティにうるさいから海外に勝てないのだ」という引用RTを頂きました。
ちょっとよく分からなかったのですが、もしかしたら個人情報の取り扱いが厳しい故にビジネスの可能性を狭めているという中国を想定したお話をされているのかも知れません。
このようにイノベーションを「既存の枠組み破壊」を「違法行為」「契約違反行為」として是とする方が時折おられます。その結果、セキュリティを蔑ろにするケースが多々見られます。殆どの場合、目指しているイノベーションは法律を動かさなければならないと周囲が思うほどの大きなものはなく、先に雇用契約や業務委託の方で先に痛い目を見ることになります。
企業の場合は速やかに門番となる法務を採用したほうが良いです。
基本的に世間は悪意で満ちていて、ある程度は技術に守られている
セキュリティを軽視する話に触れていると、「きっとこの人は大きなセキュリティ事故を経験しなかったんだろうな」と感じることがあります(既に経験しているが忘れているという論外なものもありますが)。物理的な紛失や盗難は分かりやすいのですが、インターネット越しの攻撃などはある程度セキュリティ製品によって守られていることもあり、セキュリティ事故を身近に感じることが減っているのではないかと感じています。
2000年当時、私の居た体育会系のネットワークの研究室では「ネットワークファイアウォールは甘え」という考えがありました。
2001年になりNimdaやCodeRedが流行り、ネットワーク接続していたWindowsの被害が出るようになりました。Windows2000にIPv6を有効化するパッチを当てた場合Nimdaに対応するパッチが適用されず、やはり感染していました。
それでも「Windowsは甘え」という話もあったのですが、そのうちネットワークインストールしていたRedHat Linuxがクリーンインストール中に感染したことがあり、ネットワークファイアウォールの導入が行われました。
今でもサーバ管理できちんとログを見ていると四六時中攻撃が来ていることが分かります。ネットワークの観点からしても、たまたまネットワークファイアウォールに守られていて気付かないだけで、インターネットは悪意に満ちているものです。そのような中で自由を求めても基本的には悪意のあるユーザーや、夜に放たれた悪意のあるソフトウェアに食い荒らされるのがオチです。インターネットの重要性が増せば増すほど、それを狙う悪意も増長していきます。
セキュリティ、ITリテラシを教わる機会はどこにあるか
セキュリティ、ITリテラシを教わる機会はどこかと考えると下記のものが想像されます。もちろん品質や実施についてバラツキはあります。
高校の情報系授業(年齢層に限定あり)
大学などの情報系基礎授業
企業入社後の研修
入社時
定期
事故後
未経験フリーランスに代表される上記のような機関を通らなかった人は、おそらくセキュリティやITリテラシに関する教育は受けていない可能性があります。例えば彼らがよく通るProgateにはセキュリティのコンテンツは無いようです。
また、彼らが接しやすいプログラミングスクールの多くや、情報商材は2018年頃に流行したプログラミングスクールからのコンテンツの劣化コピーであるため、セキュリティについての記載は期待できません。そもそもコンセプトからしてリテラシに問題があるものも多く、セキュリティに関する記載もありません。企業を経由せずにいきなりフリーランスになることが目的だったり、入社後数ヶ月でフリーランスになったりするため、セキュリティやITリテラシを学ぶ機会もあって研修程度かなと感じます。
カリキュラムにセキュリティやITリテラシ、著作権あたりのコンテンツが備わっているスクールでない限り、「知らないもの」だと思って接するのが妥当でしょう。
質の低い仕事をしていると、質の低い発注者しか来ない
セキュリティや契約を軽視した未経験フリーランスが多いのですが、そうした方はまず真っ当な企業から受注することは難しいです。年々セキュリティ事故が起きるたびに要求レベルが上がります。企業間であれば事前のセキュリティインタビューを必須にするケースも出てきました。
地方在住ITエンジニアへのインタビューをする中で、「地元企業からの発注は受けますか?」という設問をさせて頂いています。ほぼ受けていない方ばかりなのですが、理由は金額が極端に安いというものです。地方だから安いのかなと思ったのですがどうやら「最初は無料ですよね?」「二回目からは5万円払います」というコミュニケーションをされるため、契約せずに破談にしているとのことです。
この話の流れはまさに「かけだしちゃん」の下記ストーリーなんですね。未経験フリーランスは「とにかく営業すべき」「最初は無料でも実績を作るべき」というスタンスで宛先を見ずに営業していることから、地方企業であってもそのような価格だと誤認している発注者が誕生しているようです。安かろう悪かろうの世界です。真っ当な発注者に当たらない限り、この金銭感覚の顧客にしか当たることができません。
未経験から100話でキラキラWEBデザイナーを諦めるかけだしちゃん その54
— かけだしちゃん (@kakedashi_chan) March 12, 2022
LP制作、初回は無料、実際はいくら?
どうしよう!自分の商品の値段を決めきれてなかったよ~!💦#Web制作 #漫画が読めるハッシュタグ pic.twitter.com/Us5SXQ2vpQ
負のスパイラルですね。真っ当な顧客と契約するには自身のスキルや経験、実績も勿論ですが一定以上のセキュリティレベルとリテラシが必要です。そうでないと質の低い発注者としか契約はできません。
noteやTwitterには書けないことや個別相談、質問回答などを週一のウェビナーとテキストで展開しています。経験者エンジニア、人材紹介、人事の方などにご参加いただいています。参加者の属性としてはかなり珍しいコミュニティだと思っています。ウェビナーアーカイブの限定公開なども実施しています。
執筆の励みになりますので、記事を気に入って頂けましたらAmazonウィッシュリストをクリックして頂ければ幸いです。
頂いたサポートは執筆・業務を支えるガジェット類に昇華されます!