質問

2007年05月04日 01時02分
  • グループウェアのセキュリティについて

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

グループウェアをASPで利用しています。
20アカウントぐらいですが、掲示板、スケジュール、プロジェクト管理など一通り利用しています。

ただし管理者として心配なのが、共有するファイルなどで、個人情報や機密文書などを含むことも多いのですが、現在はそのまま利用していますが、本当のところ大丈夫かどうかと感じています。

皆さんの中で、グループウェアのASP利用で、そのあたりの指針といいますか、特に機密情報などの扱いなどについてのアドバイス頂ければありがたいのですが。

3件の回答があります

回答

結論から言うと、インターネット上に機密データを流すのは「出来るだけ控える」くらいで良いと考えています。
(もちろん暗号化された上でです)

例えば、弊社ではサイボウズを利用していますが、経理・労務関連の文書などは基本的にはファイル管理には置かないようにしています。
・・ですが、利便性の面で月末の一時期だけ暗号圧縮ZIPで置いておく。くらいのことはしています。

#個人情報云々と言う問題もありますが、アドレス情報がなければメール出せませんしねー。

いずれにしても、はっきりした規定はありませんので、スタッフの情報リテラシーの高さや、扱っているデータの重要度で御社に適切な基準を設ける。
・・ということになるのではないかと思います。

2007年05月06日 21時51分

回答

具体例は私も考えてる所ですが、コンセプトとしては参考記事にあるような「抑止力による啓蒙」が有効であると考えます。
情報漏洩というのはシステム上の仕掛けでどうなるものでもなく、最終的に個人の注意や軽率な行動を慎む事に行き着くと考えます。
(むしろシステム部員が頑張る事によって、事件が起きたらシステム部員の責任・ユーザーは傍若無人に振る舞うという悪循環に陥りかねない)

ですので「持ち出したのはお前だ!何かあったらお前の責任だ!」という意識を持たせる事で軽率な持ち出しを防ぐような意識を付けるのが重要だと考えます。

実際ダウンロード時に警告表示をするだけで違うと思います。
「機密文章をダウンロードした場合、情報漏洩の危険性がありますので注意してください」と社内報で脅しかけただけで、問い合わせの電話が数本あったくらいです。

2007年05月07日 10時14分

回答

ASPを使って、メールやプロジェクト管理、ファイル共有などの「社外秘」扱いのことを”いつでもどこでも”やれるようにしている会社は多いと思いますが、そもそもASPの事業者を信用していなければ成り立ちませんよね。

でも所詮、人間がやることですので、完璧を言っても始まらないでしょう。
情報セキュリティについては正直、「漏れるときは漏れる」としか言い様がないと思います。←ここ重要です。

そこで、システム担当者としては情報セキュリティ事故を限りなくゼロに近づけるための理屈付けをする必要が出てくるわけですが、公的な機関がお墨付き(PマークとかISMSとか)を与えているとか、暗号化通信をしているとか、そういった分かりやすいものでしか量ることが出来ないのではないでしょうか。

その上で、ASP事業者による情報セキュリティ事故が起きたとしても、こちらとしては上記の基準で選定したASPだから、と言うよりほかはないと思いますが。

2007年05月08日 16時42分

あなたもコメントしましょう!