社内セキュリティが厳し過ぎます。シャドーIT検知に怯えながら業務しなければなりません。
社内ではSaaS系は全てダメです。巷では、SNSではNotionが流行っていますが使えません。エンジニアですが、GitHubも使えません。Xも見れません。
社外的には、AIAIと言ってますが、ChatGPTは当然使えません。このご時世、翻訳サイトも使えないというのは馬鹿っぽいです。SaaSによる情報流出の危険性は認識していますが厳し過ぎます。
多くの企業はこのようにセキュリティが厳しいのでしょうか?
どんどん、世の中の流行から遅れていく気がします。
素朴な疑問なのですが、何らかの調査・研究・開発をした際に作成したソースコードの管理は、Subversion、またはオンプレミスで利用出来るGitを使っている感じなのでしょうか?(それともツール無し?)
社内接続環境は厳しいところはあると聞きますが、社内に繋がないようにするパソコンを別に持って仕事するという話は度々聞きます。
前職は社内環境への接続はVDIだったので、環境の、外では自由にやりたい放題でしたね。
現職は社内へはそれなりに厳しいですが、それ以外は比較的ゆるいですね
弊社もそのような形ではありますが、社内に繋がないPCでどの程度自由にやってよいのか不明瞭です。またデータ移動が困難です。そして、出社すると社内ネットワークしかなく、そこに繋ぐと当然監視されていますね。
特に過去盛大にやらかした会社や社員のリテラシー(の下限値)が低い事業会社の場合、野放しにするリスクが高すぎて足切りと抑止力の意味で申請制の会社も多いと感じていますが申請してもNGなんでしょうか?
だとしたらかなり特異な会社ですね
気持ちは痛いほどにわかります
その昔申請を受けて評価、許可する側の立場でしたが、申請内容と公開情報だけ見て会社として許可して問題ないかを自分の責任で判断する必要があるため、どうしても時間かかるんですよね
特に申請時の情報精度が低ければ低いほど自分達で情報を集めるか、聞き返してやりとりをする必要があって時間がかかってしまうのです
最初から先方のセキュリティ水準(水準以下であればそれを運用などでどうカバーするのか)、取り扱う情報区分などの情報がきっちり揃っていて、セキュリティ側の責任者に通して問題ない事をスムーズに説明できれば1時間で通せるのですが・・・申請者はそこまで考えていないでしょうからね
それにしても3ヶ月はさすがに長いですね
なるほど。なんとなく想像はしてましたが、許可をすると責任を負うことになるんですね。それで後々インシデントが起きたら、許可した側も怒られるということですもんね。。。
オンプレでOSS等を使って代替ソリューションも提供してくれないのでしょうか?
弊社もセキュリティに厳しくChatGPT等流行りのものは使えませんが、社内で代わりのサービスは用意されています。
シャドーITが良くないのは、それはそうなのですが適切にエンタープライズ契約して、
社外秘のデータ等ちゃんと使える状態にしてほしいですね。
