まだまだ社内において重要な役割を担うファイルサーバー
”重要なファイルはファイルサーバーに保管!”という運用が殆どではないでしょうか。
そして多くの場合、ファイルサーバーにはアクセス権が設定されていて、
部署などによってアクセスできないフォルダがあるかと思います。
業務範囲、職位、職責などにより見えるファイルを限定するやり方は
オーソドックスで堅実なセキュリティ施策ではないでしょうか。
ただ、その場合よく話に上がるのが、
「役員にしか見せたくないフォルダに、ファイルサーバー管理者である情シス社員が
アクセスできるのはいかがなものか」
という困った話題です。
「いや、管理者だからしょうがないじゃん、そういう役割だし。
それが嫌ならファイルサーバーに重要なファイル置くなよ」
という皆さんの意見は非常に同意です(笑)
しかし、この話題は意外と後を引くもので、
”役員用PC”や”役員用NAS”なんてものが登場することもままあります。
でも結局そのPCやNASが調子が悪くなると情シスにお呼びがかかるという
パラドックスが発生します。
ファイルサーバーだとこんな話に発展しますが、
これが紙だとどうでしょう?
”重要な紙の情報に物理アクセスできるか?”
という観点で考えるとどうでしょうか?
けっこうその気になればアクセスできてしまうのではないでしょうか?
やらないだけで。
ではと、
「その紙が格納されたキャビネットに鍵をかけて、鍵を管理する人を設けましょう」
となったとしても、当然ながら鍵を管理する人は当然キャビネットの中の書類にはアクセス可能です。
しかしこのことに違和感を覚える人は少ないでしょう。
紙もデータも単純に情報を記録する媒体です。
そこに書かれた情報の価値に変わりはありません。
(もひとつ言うと音声も)
・ロールとしての情報へのアクセスを許容すること(もちろんリスクへの担保はあった上で)
・紙もデータも内容が同じであれば同一のセキュリティポリシーで
というところを改めて考えてみてはいかがでしょうか。
