ダメなチェックシートで記入依頼してないですか?
チェックシート的な何かを相手方に依頼する場合のやってはいけない例をまとめました
- はじめに
- 文書が郵送で送られてくる
- PDFが送られてくる
- アンケートサイトのURLが送られてくる
- 過剰に保護されたエクセルシート
- 要求レベルが高すぎる
- 多すぎる設問
- 自社規定を押し付けている
- 社内用語を使っている
- 主語・述語・目的語が足りていない
- 一問一答になってない
- 成熟度を問うてはいけない
- 回答できない設問がまざってる
- 否定疑問文は使ってはいけない
- 第三者認証を活用しましょう
はじめに
自分は他社からいただくチェックシートをたくさん記入していました。
自分もそうでしたが、多くの会社では、チェックシートを記入する人が専任でいるわけがありません。通常の業務の時間の中で対応しています。記入していると、とてもとても困るものがでてきます。記入する側としてもアンチパターンに該当する場合は、精神的負担・肉体的負担がとても高くなってしまいます。
どうか、依頼する方々。対応しやすいフォーマットで依頼してきてください。
思い当たるところがあれば、次の依頼からでもお願いします。
文書が郵送で送られてくる
残念ながらちょっと時代ハズレです。手書きは作業コストがものすごく高いです。
ITをちゃんと活用しましょう。依頼する側もこれだと集計するのに手作業になってませんか?
PDFが送られてくる
IT化が違う方向に進んでしまった例の一つ。
印刷して手書きして欲しいらしいのですが、手書きは作業コストが高いんです。
PDFにもデータとして書き込めますが正直面倒だし時間がかかります。
PDFなのでこれも集計は手作業ですよね。依頼する側も無駄な時間を使うことになってしまいます。
アンケートサイトのURLが送られてくる
これもIT化が違う方向に進んでしまった例です。目的と手段があっていません。依頼する側は自動で集計もされるのでとても楽なんでしょうけど、会社としての回答を出す場合には、一般的に社内の承認・決裁が必要になります。
アンケートサイトの場合、記入した情報がそのまますぐに相手先に送られてしまいますので、承認・決裁をとることができません。
また、このようなチェックシートは事件・事故があった場合に、証拠書類として採用しますよね。なので、依頼を受ける側にもちゃんとデータが残っていないと困ります。
絶対にアンケートサイトを使ってはいけません。
過剰に保護されたエクセルシート
シートの保護機能を使ってはいけません。依頼する側としては、
- 体裁が崩れる
- 設問が変わってないか確認する手間を省きたい
- 選択肢を限定し集計を楽にしたい
などの思惑があるのかもしれません。だけど、過剰に保護されたエクセルシートはセルのサイズを変更出来なくなります。そのため、データ上は入力されているけれども、セルからはみ出てしまった部分が見えなくなってしまうという問題が発生します。
それと、ネ申エクセルは論外です。
要求レベルが高すぎる
チェックシートで要求している対応のレベルが高すぎることはないですか?
委託内容によっては専門性があるので、専門分野に対しては、それなりに高いレベルの対応を要求するのは普通ですが、それ以外の部分について、自社よりもレベルの高いことを要求しても無駄です。自社と同程度の対応レベルを要求しましょう。
いくら委託先の対応レベルが高くても、自社の対応レベルには関係ないです。
多すぎる設問
各社の基準はさまざまですが、チェックシートを記入するのにも時間がかかることを認識してください。だいたい設問数が30を越えると多いなーという印象です。
どうしても設問数が多くなってしまうこともあると思いますが、その場合には、記入する為の期間を長くする(目安は2−3週間)など書き手のことも考慮してください。
「長い」と思うかもしれません。専任で対応している会社なんてありません。
長いと思うのであれば、どうぞご自身で一度回答を作ってみてください。
回答が作れない場合、他社からいただいた回答に書いてあることをそのまま転記してみてください。どのくらい時間がかかるか多少は想像できると思います。
自社規定を押し付けている
各社の文化・環境は様々です。なので、依頼してくる会社の規定そのものに適合させることはできないです。同じようなことをさせたい場合は、内容を噛み砕き、本質についての設問を作ってください。
あと、依頼してくる会社の社内規定に従って欲しいって書いている場合、ちゃんとその規定も送付してくださいね。
添付されてなければ内容もわからないですし、記入側で内容を噛み砕くこともできないです。「社外秘だから出せません。」とかは言わないでくださいね。
社内用語を使っている
エスパーじゃないので、相手の会社の社内用語なんてわかりません。ちゃんと一般用語で質問をお願いします。
あと、「社内用語」を「一般用語」と思っている人もたまに見受けられます。もっと困るのは、「一般用語」を別な意味をもたせた「社内用語」にしているパターン。お手上げです。
社内から社内用語を撤廃してください
主語・述語・目的語が足りていない
設問の前後関係から推察することもありますが、正しく記載されていないと、何について確認したいのかわからないことがあります。
設問の意図がちゃんと伝わるように書いてください。
「短くて曖昧な表現」と「長くても明確な表現」であれば、確実に後者が必要です
一問一答になってない
一つの設問の中に複数の設問が含まれているケースが見受けられます。
自由回答でコメントを書くのであれば対応できますが、「◯」「×」での二者択一方式の場合、回答ができない場合があります。
設問は必ず一問一答にしましょう
成熟度を問うてはいけない
解答欄が「◯」「△」「×」など、段階を分けていることがあります。
質問者としては、できてない場合の救済措置のようなものかもしれませんが、何を持って「△」とするのかの軸や観点は人によって大きくぶれます。
成熟度を回答者に判断させるような設問はやめましょう
回答できない設問がまざってる
チェックシートを作っている人は、自分で試しに回答してますか?
たまに、コメントでの回答を求めているのに、欄が「◯」「×」しか選べないことがあります。相手が他に依頼する前に自分で一度記入してみましょう
否定疑問文は使ってはいけない
否定疑問文知ってますか?
「◯◯していませんか?」というものです。
多くの場合、「◯」「×」での回答を求められますが、否定したい場合は、「◯」「×」どちらでしょう?
日本語的な解釈であれば、
「◯◯していませんか?」→「はい、していません」→「◯」
となりますが、英語圏では、
「◯◯していませんか?」→「いいえ、していません」→「×」
となってしまいます
特に外資系企業の方が、翻訳したチェックシートを送ってきた際にこのような否定疑問文が使われているとどちらで回答していいのかわからないです。
否定疑問文は使ってはいけません
第三者認証を活用しましょう
ISMSやPマークをはじめとした第三者認証には、絶対に実施しないといけない項目が多数含まれています。
つまり、これらの第三者認証を取得していれば、認証の審査をした機関によって、実施状況の確認をしていますので、チェックシートなどで改めて確認する必要はどこにもないはずです。
各種の第三者認証に、どのような規定があるのか確認し、記入する側の負担を減らすことも考慮しましょう
自己学習できないよ
どうしてもおろそかになる自己学習
技術スキルは停滞しがち
残念だけど、業務時間中に新しい何かを学ぶ事はほとんど出来なくなった。
昔は業務を行う事がそのままスキルの向上に繋がってたけど、この役割になってからはサーバを触ることもほとんどなくなったし、ネットワーク機器に触ることはなくなってしまった。一部のセキュリティツールのWebコンソールを見ることはあっても、チューニングするようなことはほとんどない。
技術スキルを過去の貯金だけで業務を行うと、限界はすぐに訪れてしまう。
セキュリティは本当に幅が広く、情報もどんどん新しくなるので学習はしないといけないけど、悲しいことに一人CSIRTはそれもままならないのが実態だと思う。
そのせいで、だんだん業務スキルが「技術」から「知識」にシフトしてしまうのは、ある程度仕方のないことだと割り切るしかないのかもしれない。
学習の方法
だからと言って、学習を放棄することはできない。方法としては次のものがある。
- 会社にお金を出してもらって、セキュリティ関連の外部研修を受ける
- 外部の業界団体との会合・コミュニティに参加する
- 外部のイベントに参加する
- 有志のコミュニティに参加する
- 休みの日に自分で頑張る
でも、休みの日を使うのは、一人暮らしでもない限り、続けるのは無理がある。
一人CSIRTには経費があまり確保されないこともあるとは思うけど、できるだけ外部との会合やコミュニティ活動で有益な情報共有ができる環境を構築するのが良いと思う。
重要インフラに関わる事業者であれば、JPCERT/CCから早期警戒情報も無料で受け取ることができるはず(受け取るには審査がある)だから、まだ受け取っていないようであれば、連絡をするところから始めよう。そこから始まるコミュニティ活動もたくさんある。
できる限りコミュニティーに参加しよう
情報収集
一人CSIRTの情報収集はどうしているのか書いてみよう
一次情報を追いかけるのは諦めよう
一人CSIRTって、やる事が多いから正直情報収集に割ける時間は限られてくる。NCAの資料に書いてある役割の多くをこなさないといけないからね。でも、情報は何よりも大切だし、おろそかにはできない。脆弱性が見つかった場合なんかはすぐにパッチの検証とかやらないといけない場合もある。
けど、正直ムリ。全ての情報を集めるのなんてムリムリ。
その辺はスッパリと諦めよう。
デマに流されないようにするためにも、一次情報は重要だけど、鵜呑みにはできないので、検証とかを自分でやらないといけない。ただ、一人CSIRTには検証する時間なんかどこにもない。だから勇気を持って諦めよう。そこは専門のリサーチャーに任せる領域と割り切ろう。
一人CSIRTにとって大事なのは、一次情報じゃない。信用できる二次情報のほうが大事。
信用できる二次情報をどうやって見分けるかって?
一人CSIRTにはTwitterが最強の装備品なんだよ
Twitterは最強のツール
もはや説明する必要もないと思う。
Watchするのは、次の二つのリスト。ただそれだけ。
・whitehats(@yousukezan さん)
・Security-JP(@MasafumiNegishi さん)
重複して流れてくる情報も多いけど、基本的にはこの二つのリストを見ておけば大丈夫。
常にTwitterを見るためにも、画面は複数枚必要。最低でもデュアルディスプレイの環境は必須。
他に見るべきものとしたら、会社名とかサービス名とかでエゴサーチしておけばいいんじゃないかな
気になったURLはとりあえず開く
Twitterの画面は常に表示させておいて、他の仕事をしながら眺めてる感じ。
初めはなれないかもしれないけどそのうち慣れるから大丈夫。
もちろん流れてくるものを全部追う事はできないし、そもそも追うつもりはない。
重要な情報や脆弱性の話は、何回か見逃しても他の誰かがリツイートしたりするから、結果的に何回も流れてくる事になる。だからタイムリーに情報をつかむ事も諦めよう。
流れてきた時に捕まえられたらそれが自分にとってのベストのタイミングだった。そう思うことが大事。
Twitterのもう一つ便利なところは、時事的にHOTなトピックが勝手に流れてくるところ。それはセキュリティだけではなく世の中的な話題ももちろん多い。なのでそういった情報もちゃんとキャッチしておこう。特に他社で発生したインシデントなんかはチェックしておかないといけないよね。
それと、自分が気になった情報はリンク先を開いておいて、後でまとめて読もう。
知識の幅を広げるためにも興味があったものはとりあえず開く。これは業務に直接の関係がなくてもOKだと思ってる。周りに何か言われても「何かの役に立つかもしれないから見てるんだよ」って言えるくらいになるといい
前日の大事な話は「Twitterセキュリティネタまとめ」で見る
1日に何回も情報が流れてくるとしても、やっぱり情報はすべて拾う事は難しい。
なので、他人の力を借りよう。
さっきも出てきた yousukezanさんがほぼ毎日その日のトピックをまとめてブログにUPしているので、このサイトを見るのは日課にしよう
他にもインシデントが発生した時には、piyologとかもあるけど、それは別の機会に書こう
一人CSIRTの苦悩
一人CSIRTは本当にしんどい
やった事のない人にはこのしんどさはわかんないだろうな
何もない時はそんなにしんどくはないよ
でも、脆弱性が発見されたり、なんかしらのインシデントが発生するともう大変
予定していた事は何もできなくなるし、場合によっては帰れない
人が増えれば楽になるのかもしれないけど、大企業でもない限りセキュリティ業務で募集かけても集まらないのはどこの会社も同じ
なので、一人CSIRTの中の人として、一人CSIRTの事を書いていく事にしたよ