過度なセキュリティ対策は、開発させない対策となる

 

 

　 Tweet 　

シェア

　

このご時世では、セキュリティ対策が重要です。

個人情報、機密情報など、守るべき情報が沢山あります。情報漏洩などのセキュリティ事故で起こる被害は甚大です。

しかし、セキュリティ対策をとればとるほど、開発ができない状況になることも理解しておかなければなりません。

 

今回、開発ができないレベルのセキュリティ対策をやっている会社に出会いましたので、今まで出会った過度（？）なセキュリティ対策や自分の見解などを話していこうと思います。

過度なセキュリティ対策

ここでは、実際に私が体験した開発効率が非常に落ちた、なんなら、開発ができなくなったセキュリティ対策を紹介いたします。

PCの管理者権限を与えない・一時的な解除もさせない

これが一番最低でした。

PCの管理者権限を貰えないということは、好きなアプリ・ツールをインストールできないということになります。

 

Eclipseなど配置するだけのものであれば問題ないのですが、管理者権限が必要なインストーラのみのものであったり、TortoiseGitなど、レジストリ変更があるものもインストールできません。

 

アプリのインストール許可を貰っても、その後、管理者権限があるので、ということで、一時的に解除してほしいといったとき、「できません」と客先から言われました。。

その現場では、スマホ固有のシステムを開発する必要があったのですが、エミュレータもインストールできず、お客様も触るステージング環境に入れてから動作確認、問題があれば、すぐさま元に戻すという非常に開発に厳しい（できないレベル）環境でした。

アプリのインストールだけでなく、PCの変更もできないものがありました。

私は、Windows10のぬるぬる動く機能が嫌いなので、最初にきるのですが、これもできませんでした。

 

また、もちろんですが、管理者権限で実行というのもできないので、その時は問題なかったですが、バッチ実行など、絶対に問題になりうる対策となっています。

 

最低でも、一時的に管理者権限を付与する運用フローを入れる必要があると考えます。

補足：管理者権限がいらなかったもの

winmerge、sakuraエディタはzip版を使えばよいです。

a5はインストールできました。

暗号化ツール・セキュリティツールでPCを激重にする

これはちょっと昔の話ではあるのですが、暗号化ツール・セキュリティツールがほぼすべてのアプリケーションを監視しているため、めちゃくちゃPCが遅くなることがありました。

 

当時、Eclipseを起動するのに10～20分くらいかかるので、起動したら一服にしに行くというのが日常になっていました。

 

他にも、一度セキュリティツールが動き始めると、エクセルもまともに動かなくなるため、一定の時間からほぼ仕事ができなくなるというような現象に陥っていました。

 

パソコンのスペックが上がっている今、上記のようなことはあまりないかもしれませんが、スペックの高いPCを貸与しないバカでケチな会社では同じことが起こっている可能性があります。

 

まさか、開発PCを4や8GBのメモリで動かせとか、i3のCPUで動かせみたいな会社はないでしょう。

以前も記事にしましたが、会社は投資の一つとして、仕事道具のPCをよくするべきです。

PC一つで効率が2倍になったりするわけですから。。

ノートパソコンの貸与がない

これは、投資面の話ではなく、セキュリティ面での貸与不可です。

ノートパソコンを貸与せず、デスクトップパソコンで、すべてをこなせという会社は会議をしたことがないのでしょうか？

それとも、全てを理解しているメンバ、および、速記ができるメンバが横にでもついているのでしょうか？

会議をするときには議事録をとります。

議事録では、決まったこと、これからすることを参加したメンバ全員内で、なんなら、参加していないメンバを含めて相違なくするためのものです。

言質の証拠にもなります。

正確な議事録を取るためには基本的にPCがなければ無理です。

もし音声を録音することができるのであれば別ですが、ノートパソコンを貸与しない会社がボイスレコーダーを許可するとは思えません。

筆記で議事録を取る場合、ノートパソコンよりも多くの時間、筆記による会議停止を余儀なくされるでしょう。

さらに、ノートパソコンを使い情報をその場で取得し、会話を広げることも多くあります。これができない場合、毎度のように持ち帰りor想像で話すようなことになってしまい、会議がうまく進みません。

なお、会議室にデスクトップパソコンを置くみたいな考えがあるならば、最低でも2台置く必要があります。発言者用と議事録を取る人様です。

ファシリテーターがいるのであればプラス1台、発言者が複数いるのであれば、その人数分あってしかるべきです。

それができないのであれば、ノートパソコンを貸与してください。

私が参画したPJでノートパソコンの貸与がない場所は大抵議事録を取っていませんでした。

取っていても、それを書くのに結構な時間を割いていました。。

インフラメンバがいない状態で、サーバのアクセス権がない

Webアプリの開発でたまにあるのですが、開発メンバにサーバへのアクセス権がない場合、サーバ自体を調査することができません。

さらにはリリース作業のほとんどができなくなります。

 

上記作業について、インフラメンバに任せるというのであれば、問題はないのですが、インフラメンバの窓口がない、インフラメンバが忙しくて対応できない、インフラメンバがそもそもいないような状態で、このようなセキュリティ対策をしている場合、調査のしよう、作業の使用がなくなるため、手詰まり状態になります。

 

そのうえ、「調査したい」「リリースしたい」「なぜできなかったのか」などとバカみたいな発言が上から出てきたりするわけです。。。「みたい」ではなく、バカでしかないですね。

クラウドツールが利用できない

クラウドに開発物を置くのが怖いなどの理由から、クラウドツールを一切使わないプロジェクトがあります。

 

なんなら、SESをやっていて、自社でそれを禁止しているため、貸与しているPCにアクセスできないようなセキュリティ対策を入れてしまっている。

そして、それを貸与された人がめちゃくちゃ困るわけです。

客先で使っているツールが使えないのですから当たり前ですよね。それで、使えないなと思われるわけですから、本人からしたらたまったもんじゃないです。

未だにメールが基本的なコミュニケーションツールとか抜かしている会社を見ると頭が痛くなります。

他の会社が使っているものに関して、自分の会社で問題になるのであれば、それは教育など、別のセキュリティ問題があるだけです。

そこを意識せずに、単純に根本を使えなくする。愚鈍な考えすぎますよね。。。

その他、意味あるの？的なセキュリティ対策

印刷不可

印刷ができないという会社は結構ありました。

セキュリティ対策としては、多分持ち出しができないようにするためかと思いますが、スマホもあるこの時代で、印刷をセキュリティ対策として入れているのはどうかと思いました。

 

紙削減ならまだわかりますが、その場合でも禁止はしなくていいと思います。

自社サイトにアクセスする際のセキュリティツール利用

自社サイトにアクセスする際に、特殊なブラウザなどを用意し、コピーやDLができないようにしているものです。

こちらもスマホという抜き出し方法はいくらでもありますし、そんな重要な情報あるのかと疑問に思いました。

 

社外秘！というのであれば、大体なんでもそうですしね

携帯のカメラにシール

スマホなどのカメラにシールを貼ってください

という企業さんがありました。

 

まぁ、色々突っ込みどころがありますが、、、なんでやってたんでしょうね、、、

とりあえず、カメラが接着剤で汚れるのでめちゃくちゃ嫌でした。。。

 

 

セキュリティ対策の基盤的な考え方

根本をつぶし、効率化を度外視している会社と、別のセキュリティ対策をしている会社の何が違うかを記述します。

それは

• 性悪説
• 性善説
  

の二つの考え方です。

性悪説からくるセキュリティ対策

性悪説とは、人間の根本は『悪』であるという考え方です。

セキュリティ対策として考えると、『「人間はセキュリティ事故を起こすもの」なので、セキュリティ事故を起こす作業自体をできないようにする』といった考えになるでしょうか。

日本人は特にこの古い考え方を持つ人が多くいるように思います。

そして、大企業の社長は古い人間が多いと、、、

なので、大企業のセキュリティ対策は強固で、中小のセキュリティ対策は多少緩いという印象が当てはまります。

もちろん、持っている重要機密の量や質も違ってきますが、それはその部分だけ強化すればよいだけのことです。

 

1プログラマのパソコンをがちがちにする必要はないはずです。

 

 

さて、性悪説を基準にセキュリティ対策を考えた場合、悪が存在してしまうとこのセキュリティ対策は無駄なことを記載します。

例えば、スマホがあれば写真が撮れます。これによって、大体の情報は盗むことができます。スマホを持つのを禁止にしたところで、金属探知機や物理的なチェックでも用意してない限り、100%セキュリティ事故を防ぐことはできないでしょう。

 

しかし、実際はそうではありません。

セキュリティ事故はやりたいと思ってやる人はほぼいないのです。 

問題は、ルールの（ちゃんと理解がある）周知ができないことと不慮の事故のみです。

 

性善説を基準にすべきセキュリティ対策

性善説とは、人間の根本は『善』であるという考え方です。

私はこちらを基準に開発、管理を行っています。

 

上記でも記載した通り、人はやりたいと思ってセキュリティ事故を起こすわけではないのです。

もちろん犯罪を犯す人はいますが、ほんの一握りです。

 

包丁で人を指してしまうから、包丁の使用、保持を一切禁止にするという対策がどれだけ無能かは想像しやすいと思います。

今、話しているセキュリティ対策が正にそれなのです。

 

危ないからと便利なものをなくしていけば、作業が遅くなる/できなくなってしまうのは自明です。それもわからず、セキュリティだセキュリティだとあれもこれも使えなくする。

 

本来、違いますよね。使い方によっては危ないものでも、ちゃんとルールを守ってもらえばよいわけですよね。

そのルールの徹底ができない問題を棚に上げているので、セキュリティ対策を強固にしている会社は無能と言えます。

 

人は問題を起こしたくて起こすわけじゃない。そう考えることができれば、「ルールがわからない状態を作らないように」「魔が差さないように」「不慮の事故が起こったときに問題ように」するだけで、セキュリティ対策はばっちりのはずです。

 

まとめ

いかがだったでしょうか？

今回は過度なセキュリティ対策の事例と、セキュリティ対策の基盤的な考え方を紹介しました。

 

セキュリティ対策を考える立場にいる人は少ないと思いますが、会社がどのようなセキュリティ対策をしているかによってどのように社員を考えているかがわかると思います。

セキュリティ対策をしすぎている会社は、開発者ファーストではないので、居心地がよくなければ、離れる一つの要因として考えてもよいかもしれませんね

 

 

　 Tweet 　

シェア