【キングダム】咸陽のようにセキュリティが高いSES現場

paper-1502033_1280.png

※写真はイメージです

キングダムの難攻不落の咸陽をご存知ですか?

今回は、まるで咸陽のようにガッチガチの現場をレベル別で紹介します。

本人認証がないと現場に入れない【★☆☆☆☆】

本人認証がないと現場に入れない

まず現場に入るのに認証があります。

セキュリティカードや顔認証、指紋認証などが必要です。

これは現場に無関係な人が入室できないようにするためです。

全員が入室するための鍵を持っていない場合もあり、休んだり遅刻をしたときはみんなを待たせることになります。

そのため、鍵持ちは意識が高くなり、免疫力が上がって休みにくくなります。

しょぼい顔認証の場合、

  • マスクを使う
  • コンタクト↔︎メガネの変更

で弾かれることがあるので気をつけましょう。

複数のパターン登録が必要になるかもしれません。

スマホなどの通信機器を入り口で没収される【★★☆☆☆】

スマホなどの通信機器を入り口で没収される

本人認証のセキュリティをクリアしただけでは入場ができません。

入り口でスマートフォンなどの通信機器を回収します。

通信・カメラ付き携帯・私物パソコン・USBなどが対象となります。

内部のことを

  • 転送
  • 撮影
  • 録音
  • 録画

などをし、そのまま流出させないためです。

その席でお昼を過ごす場合、大好きなモンストやパズドラができません。

開発室から退出しましょう。

いたるところをカメラで監視している【★★☆☆☆】

いたるところをカメラで監視している

入り口はもちろん、廊下や開発室などいたるところに監視カメラがあります。

全ての行動は監視され、うかつにあくび・うたた寝などできないでしょう。

機密情報や備品の盗難などの不正行動をさせない・発覚させるためです。

ランチで炭水化物をいっぱい食べて、血糖値があがり、ウトウト状態がやってくるとまずいです。

カメラにうっつらうっつらしている姿がバレてしまいます。

トイレの個室に避難し、15分くらい仮眠をとりましょう。

それくらいで一気に眠気が回復します。

個人的には、カメラをつける前とつけた後ではコミュニケーションが低下したという統計がとれました。

録音があるかどうかでも変わりますが、録音で音声が記録されたり、監視室で聞かれる場合、変な会話ができません。

「鬼滅の刃の映画観た?」

という会話ですら話しにくいです。

私は気にせず話しますが、人によっては気にするようです。

監視ソフトウェアのインストール【★★★☆☆】

監視ソフトウェアのインストール

セキュリティレベルの高い現場で利用するパソコンには、監視ソフトウェアがインストールされています。

この監視ソフトウェアでは

  • ログイン履歴
  • USBやCDメディアの利用履歴
  • データ操作の監視
  • 通信内容の監視

などの、

5H1H的な行動

を全て監視しています。

これでパソコンの不正操作を防止しています。

インターネットでは、

  • 指定されたドメイン以外はアクセス不可
  • アクセスすると監視員がやってきて理由を聞き、状況によれば始末書を書く

などがあります。

ぐぬぬ、YouTubeやニコニコ動画が見れません...

開発ルームがガラス張りの部屋【★★★★☆】

開発ルームがガラス張りの部屋

エンジニアは引きこもりというか、人前に出るのが苦手な人が多いです。

黙々と、壁にパソコンを置き、作業をするのが好きです。

私もその一人です。

しかし、中にはガラス張りの部屋で開発するところもあります。

廊下からも丸見えで、多数の人間の視線を感じます。

まるで魚やハムスターになった気分を味わいます。

それにより、緊張感が高い状態でずっと開発をすることになります。

監視カメラの視線より、人間の視線のほうが緊張します。

それは、自他共に感情があるからです。

カメラはあくまで映像を記録するだけなのですが、人間は感情があります。

自分の言動がどのような印象与えるかをカメラ以上に感じます。

適度な緊張感があるので、サボることはできなくなるでしょう。

私が大将軍ならば、咸陽攻略を諦め、全軍撤退の意思決定をする瞬間です。

開発室がオフライン環境【★★★★★】

開発室がオフライン環境

開発室でもインターネットが禁止の現場もあります。

通常は、開発中はドキュメントやエラー内容を検索します。

よほどの達人でない限り、オフラインで開発するのは困難となります。

オフラインでドキュメントがあればいいのですが、痒いところに手が届かないものも多いです。

そういうときは、開発室から退室し、外でスマホで調べてから再度入室します。

調べた内容は、手書きや丸暗記する必要があります。

そういう現場は、持ち込みも不可の場合が多いからです。

セキュリティのレベルが高いところほど、低い内容も合わせてルールとして実施しています。

エンジニアにとっては、非常にめんどくさいですが、外部からの攻撃もなく、データ流出のリスクもほとんどありません。

個人的には最強のセキュリティ対策です。

私はそういう現場は絶対嫌なので断りますが。

最後に

セキュリティを高めることはとても大事

セキュリティを高めることはとても大事です。 しかし、高めすぎて、エンジニアのクリエイティブ力が低下してしまってはダメです。

ようは、天秤のバランスが非常に大事と思います。

  • 役職と責任
  • リスクとリターン

はセットで考えられるもので、どちらかに傾きすぎてもいけません。

会社のセキュリティ担当者は、セキュリティのレベルを決めるのは非常に大切な仕事です。

しかし、エンジニアからは嫌われることが多いので耐えましょう。

反発なしに、セキュリティのレベルアップができたことはほとんどありません。

そのセキュリティの定義をなぜ必要かを意識した決定をする必要があります。

「なんとなくあったほうが安心だな」

という安直な考えでは、エンジニアのモチベーションが下がり、最悪退職していきます。

社内のセキュリティレベルを上げすぎて、社員数が半分になった会社を見てきたことがあります。

自由を求めるエンジニアはレベルが高い人が多いです。

自由だからこそ真の力が発揮できるからです。

ある程度の裁量は与え、信頼・信用することも必要です。

また、絶対にセキュリティ事故をなくす方法はありません。

発生した時のフローをしっかりと定義しておくことが大切です。

セキュリティ事故はヒューマンエラーがほとんどです。

それを防ぐための運用ルールですが、どんなルールでも事故は起こります。

セキュリティレベルを上げるだけでなく、事故発生時に迅速な対応ができるマニュアルが先に必要かと思います。

必要なのはルールだけでなく、社員全員のセキュリティ知識を高め、意識させることです。

時にはセキュリティをゆるめ、爆発的に攻めさせることも必要です。

読むべき本