インフラを多層的に、多面的に見て判断できる力が問われる機会、増えてきたように思います。UTMトラブル対応で一日。
営業が出て来て、次に技術の人が現れるけれど、技術の方に、関連した範囲以外のことを質問したら、担当ではないので答えられないと言われた・・・。
商用ITでは、あるあるのお話。経験された方もあるのではないでしょうか。
『責任範囲』の四文字は、とっても大事ですが、営業マンが売りたいものに集中するばかりに、リスクを説明されないで販売されたものが、メンテナンス不足が原因で、別のリスクを持つことが、UTM導入界隈で、たびたび発生しています。
メンテナンスがしっかりされれば、UTMは出口対策に有効な機器ですが、その機能から、想定外に遮断する機能をもっていることについての説明が少ないようにも思います。
知らなかった・・というの言葉では解決しないこともあります。
以前INSの多層構造について、難しさに悩んだ話を書きました。
商用のITネットワークも、また、情報機器が多層構造で設置されています。
責任範囲で分断されたITにはつなぎ目があり、ここで迷路が生まれます。
それらを俯瞰して、多面的に関われる人材が、求められているとも感じましたが、
手を出した瞬間、責任に巻き込まれるリスクもあります。
人材の育成が出来ない、育ててもらえない・・・、ノルマばかりの営業マンさんが多いのも理由なのかもしれないです。
販売時に注意事項は伝えていただきたい。少なくとも「これで安心ですね」では、ないと。
似たような事象を他のお客様でも経験してたこともあり、思い返しながらの作業で、なんとか復旧したものの、後味の良くない感じです。
私自身も、投げているものと、受け取っているものの間で、
メンテナンス、アフターフォロー、
回り切れずに、
『責任は購入し所有しているお客様になってしまいます。』の言葉を放っています。
互いが納得できる、出口は、どこにあるんだろうかと、また、深い迷路に迷い込んでいます。
追伸
関連して、
『保守契約をしていなくても、パスワードを開示しないのは、その後のお客様を思う対策』だというお話をお聞きしました。
お客さんが所有されている機器でも、法人様向けの機器の場合、その設計や設定には、セキュリティを考慮した仕組みが多数含まれています。安易な操作が招くリスクもあります。
単発の仕事の依頼の仕方を→請負
保守を含んだ仕事の依頼を→準委任
請負の場合、成果物の納品方法は、依頼する側、依頼される側で、事前取り決めが必要です。
請負の機器設定、ネットワーク構築において、お客様の方からは、依頼先にパスワードは成果物として取り寄せられるよう、事前確認しておくことも、将来的にネットワークを守るために必要な方法なのかも、とも思いました。
一方、準委任契約の場合は、保守を担保するために、開示されない情報もあります。勝手に操作されて、依頼されている側が稼働を強いられることだってあるわけで。
請負の場合、その後セキュリティインシデントが起きても、その責任は担保されません。準委任は、もう少し、継続的な関係をそこに含むことができますが、保守費用が大きな負担になることもあります。
大きい会社は、それを説明しないといけないルールがあります。
キーワードは、『請負』『準委任』『下請法』。
参考:アウトソーシングに関する情報セキュリティ対策ガイダンス(2009)経済産業省発行
明文化されない、商慣習の多い、業界。難しいです。