現状に即していないセキュリティ規定についての問答

Peingで表題の質問をいただきました。長くなるので、こちらで回答します。

特に日本の大企業において、現状の技術やプラクティスに全く即していないセキュリティ関係の規定や細則が存在している傾向があるかと思います。これらについてどのように思いますか?また、是正すべきであればどのように是正すべきでしょうか
https://peing.net/ja/q/f547e99d-0af6-4a0c-ad1c-c102094df641 より引用

1. どう思うか

特に思うところはないですね。あくまでその企業の中の話であり、外部の人間がとやかく言うことではないです…が、この機会にあらためて考えてみました。以下、考えたことを書きますが、いささか突き放した感じになるかもしれません。

まず、(1)大企業で、(2)セキュリティ規定が細かく効果的でないように思われる、という状況は、日本全体を見れば、かなり恵まれた状況にある場合が多いように思います。その理由は、(a)そもそも大企業に勤務していることが恵まれている、(b)セキュリティが重要だという意識が強いだけでも立派なことだ、からです。

一方、大半の方は、中小零細企業に勤めてる and/or 企業としてセキュリティ意識が(ほとんど)ない、という状況ではないでしょうか。

いや、あなたは恵まれているんだから我慢しろ、という意味ではないですよ。ないですが、一方で、「不満があるなら自分で是正に向けて行動するか、転職すればいいじゃないか」という(突き放した)考えも浮かぶんです。でも大半の方は行動しない。その理由を想像していくと、なんやかんやで、その方たちは恵まれた状況にあるので、行動に伴うリスクもあるからじゃないでしょうか。

上記のようなことを普段脳内で言葉にして明示的に思っているわけではないですが、直感的には「思うところはない」理由を言葉にしてみると、上記のような身も蓋もない意見になりました。違っていたらごめんなさい。個別の状況はさまざまでしょうから、違っていたらぜひ教えて下さい。

2. 是正すべきであればどう是正すべきか

これはね、あなたができることをやるしかないです。ちょっと私自身の経験(セキュリティではない)をお話しますね。

私は若い頃プータロー(ニート、フリーター)をしておりましたが、高校時代の同級生が心配をしてくれて、彼のコネで、とある大企業(東証1部上場)に入社しました。その入ったばかりの頃(入社2年目くらい)ですが、上司(係長)の指示で、とある業務の課題について報告書を書きました。その報告書が係長、課長、部長と回りまして、部長が「この報告書は社長にまわせ」と叫んだそうです。なんやかんで社長にはいかなかったそうですが(笑い)、副社長に回ることになり、その業務を改善せよという組織横断の指示がありました。そこで、複数組織をまたがったプロジェクトチームが結成され、私は実務上の中心人物(リーダーでもないし、なんと呼んだらいいですかね)としてそのプロジェクトを担当し、この課題に正面から取り組むことになりました。

昔の自慢話みたいですか。でもね、このストーリーで、一番「思い」が強かったのは誰だと思います? 実は私の上司の係長なんです。私は係長からの指示で報告書を書いただけ、というのがきっかけなんです。係長は書こうと思えば自分で書ける報告書をなぜ私に書かせたのでしょうね。係長は故人なので今となっては質問することもできませんが、想像するに、徳丸ならエモい文章を書けるんじゃないかと思ったか、新人がこのようなレポートをする衝撃を狙ったのか…過去を振り返ると、係長知恵者だなと思うわけです。

同じことをしなさい、という意味ではないですよ。私の経験の場合、会社が風通しのよい社風で、新人からあがってきたレポートを経営陣が素直に受け入れた、またそういう行為を許容し尊重する社風があったからできたと思うのです。あなたの会社にマッチした方法は別にあると思いますが、それは私には分からないです。

あなたが本当に是正すべきだと思うのであれば、自分の使える駒をどう活用するかはご自身で考えるしかありません(先の係長のように)。私はプロのセキュリティ・コンサルタントですから、ご発注いただければ一緒に真剣に考えますが、なかなかコンサルタントを雇ってという話にはならないのですよね。

セキュリティの研究を仕事と趣味でやっていて、趣味の研究結果をブログ記事などで公開しています。研究にあたり、ドメイン名取得や、VPS、AWS等の継続的な費用がかかりますので、支援をいただければ幸いです。 https://twitter.com/ockeghem