前回のおさらい
・無償のファイル転送サービスには色々リスクがある。
・かといって閲覧規制だけすればいいってもんじゃない。
・ニーズに答えながらセキュアなファイル転送ができる有償サービスがある。
ここまでの内容は「そんなことわかっとるわい!」と言われるかもしれません。
前編の最後にも少しだけ触れましたが、問題は「有償」である点です。
上司や経営層を説得して稟議を通す必要があります。
導入効果を訴求する
話は少しそれますが、SE時代には稟議書を書いたことがありませんでした。
物品購入の稟議なんて、そもそも見たことがありませんでした。
業務に必要な備品やサービスは基本会社が「就労環境」として準備したものを使います。
プロジェクトは雛形のWBSがあり、決裁が必要な新たな意思決定はあまりありません。
その代り会議資料や報告書なら膨大に書きましたし、手順書の承認は山ほどもらいました。
情シスになってからというもの、週に1回は稟議書を書いています。
契約更新、パソコン導入、追加ライセンス発注、社内規定の変更。。。
年度のIT予算作成にも関わったのですが、こんなにお金がかかるのかと驚きました。
誤解を恐れずに言うと、
「1円も利益を生まない間接部門が、こんだけ予算使ってりゃ社内の風当たりも強いわ」
と感じました。
確かに目に見える売上や利益は生み出していません。
しかしITサービスによる業務効率化は利益に貢献しています。
大事なことは「見える化」と「アピール」です。
「このシステムで効率化できたことで、これだけ利益に貢献していますよ」
「システムトラブルによる損失はこれだけ予測されます。安定稼働への投資と比較してください」
この辺はSE時代の運用提案によるパッケージへの仕様誘導や提案コンペの経験が役に立ちます。
もちろん相手あってのことですから、全員に同じ手が通じるわけではありません。
しかし手法としては基本は同じだと思います。
導入効果の訴求方法の事例をいくつか紹介します。
これらは実際に私が使ったものではありません(理由はあとがきにて)。
しかし「こういう攻め方もありかもな」と考えていたものです。
セキュリティ=顧客、取引先へのサービスレベル向上
とかくセキュリティ投資は後回しにされがちです。
どうしても「守り」のイメージがあり、売上に直結する「攻め」の優先度が高まります。
しかしセキュリティは「自分たちの安全を守るためのもの」だけではありません。
「顧客や取引先に安心・安全を提供するサービス」なのです。
「ブランドイメージ」や「信頼」を疎かにする経営者はそういないでしょう。
「大切なお客様のデータを、通り一遍のセキュリティ対策ではなく、これだけ安全に取り扱っています」というメッセージは安心・安全な取引という付加価値に繋がります。
自社のウィルス感染による業務停止の損失や、情報漏えいによる信用低下は被害のほんの一部です。
本当の被害者は感染源からウィルスを拡散された人、漏えいされた情報の持ち主です。
逆に相手がセキュリティを軽視していれば、こちらが被害を受ける可能性もあります。
こちらが率先してセキュリティレベルを上げることで、相手にもそれを求めることができます。
ファイル転送サービスは、メールと同様に対外的なコミュニケーションツールです。
セキュアなサービスの導入はセキュリティ対策のアピールに貢献することが可能です。
社内リテラシー教育の教材として
机上のセキュリティ教育には、個々人の理解度や浸透に差が生じます。
何故セキュリティ対策が必要なのか。
セキュリティ対策を怠るとどのような問題が発生するのか。
実際に業務の中でそれを理解するには、普段使っているもののほうが効果があります。
何故セキュアなファイル転送サービスを使わなければならないのか。
何故使い慣れた無償サービスを使うことが駄目なのか。
サービス導入の意味と目的を周知することで、セキュリティに対するリテラシー向上を狙います。
ルール整備による運用コスト削減
前述の通り、ファイル転送の手段様々です。
ルールを設けなければ、どのような手段も取ることが可能です。
しかし全ての手段が継続的に安定したサービスを提供してくれるわけではありません。
送信遅延、データ喪失、サービス終了等により、別の手段を探さなくてはいけなくなります。
「この場合はこれを使う」というルールを整備し、順守状況をチェックします。
全員が同じ品質のサービスを利用でき、運用変更の周知も効率的に行うことができます。
閲覧規制での注意点
セキュアな有償サービスを導入することができたら、他のサービスを規制するフェーズです。
まずは運用周知、利用状況の推移の計測、利用促進のアナウンス等を行い、移行を推進します。
その一方でWebフィルタリングの設定にて継続可能な警告を開始します。
最終的には閲覧不可とする完全規制の開始日を告知して、閲覧規制を完成させます。
ものすごく簡単にまとめていますが、厄介なのがWebフィルタリングによる閲覧規制です。
サービスは無数にある
Webフィルタリングによる閲覧規制も様々な製品、サービスがありますが今回はそこには触れません。
フィルタリングの方法は大きく2つあると思います。
1.カテゴリやキーワードを選択して自動的に規制をかける
2.個別のURLで規制をかける
1は除外設定を行えるものもあるので、自社で利用しているサービスは除外します。
しかしこのカテゴリやキーワードでのフィルタリングは便利なだけではありません。
自動的に規制対象が選択されるため、接続が必要なものも規制される可能性があります。
2は言わずもがな、1つ1つのサービスを全部自力で登録します。
しかしこの手のサービスは無数にあります。
その全てを調べて登録するのはほぼ不可能です。
しかし、ここで考えなければいけないことがあります。
規制対象は全インターネット空間ではなく、社内からの接続だけです。
規制対象外のサービスをがんばって探し出そうとするほど暇な人はそうはいません。
代表的なサイトを規制すれば概ねセキュアな有償サービスに移行します。
あとは定期的にWeb閲覧ログを監査して、怪しいものを潰していくほうが効率的でしょう。
オンラインストレージも同じことができる
無料のオンラインストレージも、ファイル転送サービスと同じリスクがあります。
代表的なものはGoogleドライブやOneDrive、DropBOXといったところです
これらの厄介なところは、ブラウザ接続だけではなく、アプリで接続できることです。
常駐アプリでネットワークドライブのようにエクスプローラーから使用できたりします。
アプリ規制を行う必要がありますが、GSuite等を利用しているとさらに厄介です。
利用状況にもよりますが、これらのアプリは利用しないルールにしたほうが良いと考えます。
尚、オンラインストレージについても有償のセキュアなオンラインストレージも存在します。
ユーザー毎に授受フォルダの権限を設定して、共有フォルダとして利用できます。
送受信先が固定的でファイル授受が高頻度な場合、こちらのほうが有効な場合があります。
また、ファイル転送サービスにも共有フォルダとして利用できるサービスもあります。
この辺は定義の線引きが難しいところです。
取引先が使っているセキュアサービスもある
セキュアなサービスを利用規則としているのは、何も自社だけではありません。
取引先が別のサービスの利用を社内規定で定めていることも考えられます。
こうなるとお互い協議のうえでフィルタリングの一部解除等を検討する必要があります。
あとがき
導入効果の訴求の項で少し触れましたが、私の場合どのように導入に漕ぎ着けたかお話します。
実はこのサービス導入について、説得らしい説得はあまりしていません。
利用状況に即した適正価格のサービスを選定して提案しただけです。
実はファイル転送サービスを知ったきっかけは、
「無料のファイル転送サービスを規制するにはどういう方法が良いか」
という依頼からでした。
つまり無料のファイル転送サービスの規制ありきからスタートだったのです。
「ここまでひっぱっといて、なんじゃそりゃ!?」という感じかもしれません。
それでも稟議書には上記程ではないまでも検討経緯や効果測定の計画を記載しました。
現在もその計画に従って効果測定を行っています。
何のためにやるかはよくわからないけど言われたからやる、が一番まずい結果を生みます。
冒頭に触れた稟議書書きで一番苦労しているのはその部分です。
年次の契約更新等の場合、導入目的を調べても明確な目標が無いものがたまにあります。
導入したことにより定量的、定性的にどのような効果を産むのか。
効果をどのように計測し、どのような周期で報告するのか。
それがわからないシステムを毎年更新してきていたのです。
効果が出ているかどうかわからないけど継続契約だから従来通り。
こんな無策がまかり通っていれば、情シスの地位なんか上がるわけがありません。
「きちんと効果がでているから、来年も契約を継続します」なのか。
「当初想定ほど効果が出ておらず、運用方法変更や乗換、契約終了の検討が必要です」なのか。
成果を明確なアウトプットとして提示する。
これが継続できていれば稟議を通すことなんてさほど難しくなくなるはずです。
この記事が気に入ったら
いいね!をお願いします