無意味なセキュリティ
今のお客さんである大手SIベンダでは、本番環境からデータを持ち出す際に管理者(課長とか部長とかに当たる結構えらい人)がデータファイルの目視チェックをやってます。持ち出せるファイルにはAccessやExcelのファイルも含まれていて、僕がやろうと思えばVBAのソースに埋め込んだり、文字を透明にして大事な顧客データを簡単に持ち出せてしまいます。あくまでも、やろうと思えばの話だし、暗号化など他の要因があって外部には簡単に持ち出しできないのですが、「管理者目視」という作業にはセキュリティ自体を高める効果はないと断言できます。で、これに結構な作業の手間と時間がかかっています。なのになんでこんなことをやるのか考え込まされるのが最近の常なわけです。理由として、
- セキュリティチェックをいくつもやっているんだという抑止力として
- 管理者は単純なファイルの形式の違いを知らない
- もしものために責任の所在を明らかにするため(いわゆるハンコ押し)
- 管理者のための作業
- 効率より建前を重視したほうが顧客満足度を高めることになる
といったことを考えたんですが、どうもしっくりこないです。セキュリティが重要なのは僕も強く認識していますが、それとは違う、惰性というか、そういった空気を感じます。