50-150人規模・一人情シスの生存戦略:「理想」を捨てて「説明責任」で守る
50人から150人。この規模の企業におけるIT環境は、独特の「歪み」の中にあります。
カオスな創業期(〜30人)を抜け、組織としての体をなし始める時期ですが、ITへの投資対効果は大企業ほど明確ではなく、専任の情シス(情報システム担当者)は「 …
読む →
一人情シス
「落ちないシステム」より「戻せるシステム」を:一人情シスが可用性(SLA 99.99%)を捨てて復旧訓練に走るべき理由
「システムは止まってはならない」 「サーバーは二重化(冗長化)が常識」
IT業界に長くいると、この教義が骨の髄まで染み込みます。 SLA(サービス品質保証)99.99%。これは年間ダウンタイムを52分以内に抑えるという数字ですが、クラウドベ …
読む →
100人規模の企業に「SOC」は不要:月額50万の監視サービスを契約する前にやるべきこと
セキュリティベンダーの営業文句で、最近よく耳にするのが「SOC(Security Operation Center)」です。
「御社のPCにはEDR(Endpoint Detection and Response)が入っていますが、誰がアラ …
読む →
規程を「作らない」勇気:形骸化した社内ルールが一人情シスの首を絞める理由
「IPO準備のために、IT関連の規程を整備してください」 「Pマーク取得のために、情報セキュリティポリシーが必要です」
会社の成長に伴い、このオーダーは必ず降ってきます。 そこで多くの情シス担当者は、インターネットで「情報セキュリティ規程 …
読む →
一人情シスが設計していいインフラの「上限」:自作Kubernetes基盤が退職後に負の遺産になる理由
情シス(あるいはエンジニア)としてスキルが上がってくると、「自前で作り込みたくなる」病にかかることがあります。
「AWSのリファレンスアーキテクチャ通りに、Auto ScalingとMulti-AZを組んで……」 「コンテナオーケストレーシ …
読む →
「ログの海」で溺死する前に:証跡(Audit Trail)を作りすぎた一人情シスの末路
「念のため、全てのログを取っておこう」 「何かあった時に追跡できないと困るから」
情シス担当者が陥りがちな、最も危険な思考停止の一つです。 ストレージが安くなった現代、ログを保存すること自体は難しくありません。PCの操作ログ、ファイルサーバ …
読む →
一人情シスが死守すべき「セキュリティの絶対国防圏」:100点満点を目指さず、説明責任を果たせる境界線
セキュリティ対策には「キリ」がありません。 ファイアウォール、WAF、IPS/IDS、サンドボックス、EDR、CASB、SSPM、DLP、SIEM……。 展示会に行けば、無数のベンダーが「これさえ入れれば安心」と甘い言葉を囁き、専門家は「多 …
読む →
業務アプリ統制の「損切り」ライン:一人情シスが守るべきは全アプリではなく「急所」のみ
「社内で使われているSaaSを全て把握し、管理下においてください」
セキュリティコンサルタントや監査法人の先生は、涼しい顔でそう言います。 CASB(Cloud Access Security Broker)やSSPM(SaaS …
読む →