社長 「君は、新聞は読んでいないのかね? 小野君は、こういうときにはすでに情報を入手していて、状況判断と適用すべきかどうかを教えてくれたがね……。至急、調査して必要な対処を行うように。それから、セキュリティは最重要事項なので、いつでも最新情報を把握しておくように」
社長の気持ちは分からなくもないが、本来このような重要な情報を小野さんがドキュメントに残していないことをまず問題にすべきだろう。また、「セキュリティは最重要事項」とあるが、ほかにどのような重要事項があるのか、ということも含め、明文化されたものが何もないことも問題である。
IT関係で経営層のコミットメントを得られたドキュメント、特にセキュリティ関係で得られたコミットメントについては、何らかのドキュメントやワークフローになっているべきであり、優先度についても何らかのドキュメントに残されているのが本来である。
今回のケースは、直接的にインシデントが発生したわけではないが、使用している環境に関連したセキュリティ問題が発見された際の対応という点では、インシデント発生時の対応についてのドキュメントと同様である。
また、実際に運用管理業務を正当化するためにも、正式な文書によるコミットメントが欲しいところだ。とはいえ、情報システム部としてのアクティビティは認められているので、経営方針にITに関連したことが盛り込まれているのであれば、それを情報システム部の方針として文書化されたものがどこかにあるべきだろう。
インシデント対応手順をドキュメント化することは、難しいというのも事実だ。一口にインシデント、といってもいろいろなインシデントがある。あらかじめ何が起こるかなど、当然予想できない。となると、まず必要になるのは非常時の体制だ。
経営者が技術的な要素を含むインシデントに対応できるかといえば、そうではないことも多い。ワーム被害が出ているらしい、というときに、経営者としては「一刻も早く止めろ」というしかない。
しかし、現場で火消しをするときに必要なのは具体的な指示である。ワームに汚染されてしまったセグメントを隔離したいとき、ネットワーク機器を停止して隔離してもいいかどうか、いちいち経営者に説明、そしてお伺いをたてなければならなかったとしたら、一刻を争う事態に対応しきれずに結果としてまん延させてしまったりする。「インシデントが発生したら自分の判断で止めてもいいよ」という権限とともに、非常事態に対処可能な体制を整えたいところだ。
中村君は腹を決めてコンピュータ1台1台のOS種別やコンピュータ名、設置場所を記録しながら、1人でパッチを当てて回ることにした。最初はパソコンをちょっとは使いこなせそうな社員を捕まえてお願いしてみたが、実際にやってもらうとちゃんとすべての修正プログラムが導入されていなかったり、抜けやミスが多いので1人でやることに決めたのだ。
中村君もまだ若いなぁ、という感じだ。実際に「抜けやミスが多い」のは、手順に抜けがあるからでもある。他人にお願いする場合には、自分で何度か作業を実施してみて「確実にできる手順」を理解し、その手順を文書化するのが一番早い。さらにいえばその手順書を第三者に読んでもらい、具体的にイメージできるかどうかコメントしてもらうなどでドキュメントの精度を上げていくことも必要だろう。
中村君 「しかし、無線LAN装置が入ってるという話は事前に聞いておりませんでしたので……」
小笠原さん 「そりゃそうだろう。自分の仕事をやりやすくするために自腹切って機器を買って設置してるんだから」
このあたり、中村君の人のよさというか、会社勤めの日の浅さが弱みになっている部分だ。本来こういう対応を部署に中村君のようなペーペーしかいないときにやらせること自体がよくない。場合によっては、「情報システム部の人が追認して許可した」と無線LANの設置者(今回の場合は小笠原さん)が早合点し、責任を押しつけられてしまう危険性だってあるのだ。
中村君はその場であいまいな返答をせず、「上の者に聞いてくる」旨を宣言してもいいのだ。いずれにしても、本来担当者がその場でNO以外を即答できるような状況ではない。逆にいえば、それだけ重要な項目であることをあらかじめ上司などに認識させる必要があるだろう。資料をできる限りそろえておき、上司を納得させたうえで現場調査へ赴く。でなければその場では何一つ言質になってしまうようなことはいうべきではない。
Copyright © ITmedia, Inc. All Rights Reserved.