2019.10.08
セキュリティ対策をムダにしないために
総務省が2017年度から約18億円をかけて導入した、
セキュアゾーンの高度なセキュリティーは、各府省庁は専用回線で機密情報を閲覧できるが、ダウンロードはできない仕組みだったようで使い勝手が悪く、保管されたデータの出し入れや訂正には、各府省庁の職員が設置場所まで足を運ぶ必要があり、使用にあたっては負担金が生じる可能性もあったとのことで、そもそも、計画段階から利用を希望していなかったようです。
こうしたことは、お役所仕事にありがちな内容で責任の所在が不明瞭ですが、このようなムダな投資を許していたら、業者に対する単なる利益供与と疑われても仕方ありません。
このセキュリティシステムは、私たちのセキュリティ投資に関して考えさせられる重要な事例です。
セキュリティ強化は、業務の効率化とは真逆で、その多くは使い勝手を悪くし、チェックの負荷や場合によってはこの例のように手間を増やすものになります。それでも、行うべきなのがリスク回避のためのセキュリティ対策です。
今回は、各府省庁がハードウェアなどを共通で整備・運用する「政府共通プラットフォーム」の中に置かれていたとのことですが、果たしてセキュアゾーンの設置が最良の策だったのでしょうか?もし、そうであれば強制的にでも使わせるべ きだったのではないでしょうか?
このあたり、企業であれば、使用される見込みがないセキュリティシステムは絶対作らないでしょう。
詳細がわからないので、判断はできませんが、インターネット遮断の方法も日進月歩で、様々な方法があります。閲覧だけでダウンロードできない仕組みにこんなに投資することが必要だったのでしょうか?
セキュリティ対策を施したシステムの作成には、現場とのコンセンサスと、最新技術を入手した上での投資対効果の算定が、特に重要です。
[タグ]
[関連]