エピソード6 全社的な業務監査を実施しています。上司は、なんとも皮肉なことに、市場における会社の地位を固めるための日常的なプロセスだと考えているようです(などなど)。しかし、私とPFYは、ライバル企業との合併の可能性について議論していたプライベートメールのやり取りに偶然BCCで参加していたため、その真意を深く理解しています。
関係する会社をざっと調べてみると、デザート、チーズボード、食後のコニャック数本分のスペースを残しつつ、我々の会社の分を全部食べきるには十分な大きさだということが分かりました。
監査の本当の性質を説明すると、ボスは「明らかに、両社の人員配置の変更が必要になるだろう」と言いました。
「あるいは、私たちの会社だけでしょうか」と私はほのめかします。
「多少の業務の重複は避けられないが、企業体の中に確実に統合されるはずだ」と彼は素朴に主張する。
「我々が『法人』と関わるのは、彼らが我々を法人として抹殺するときだけだろうと思う。」
「そう思うかい?」ボスは不安そうに尋ねた。
「その通りです。彼らは、わが社が統合されることになるインフラを完備しており、実質的にこの会社の大半は不要になります。
「それで…それで私達は終わり?」
「あなたにとっては、そうです」とPFYは言います。
「それで、あなたはどうですか?」ボスはくすくす笑います。
「ああ、たぶん雇い続けてくれるだろうね。ビジネスの世界ではよく言うけど、死体がどこに埋まっているかは分かってるからね」とPFYは微笑んだ。
「あるいは、もっと重要なのは」と私は付け加えた。「私たちは、さらに何人かの人を受け入れる余地があることを知っているのです…」
「何かできないのか?」ボスは、監査人がミッションコントロールに到着する前に言葉を絞り出そうとしながら、思わずそう言った。
「その価値はいくらですか?」PFYは尋ねます。
1時間と社内の駆け引きを経て、PFYと私は初日よりもずっと多くの現金を手にしました。おかげで、監査役との初面談に良い気分で臨むことができました。彼らは買収予定企業の陰気なスーツ姿の社員たちで、私たちのコンピューター処理について話し合いたいそうです。
「それでは、パスワード ポリシーの概要を説明していただけますか?」スーツを着た最初の人物が、チェックリストの上から順に尋ねます。
「ああ、そんなものはないんです」と私は言いました。
「なしですか?複雑さ、古さ、最小および最大変更時間、最小および最大の長さ、再利用制限などはありませんか?」
「いいえ、ありません」と私は言った。「パスワードが頻繁に変わると、お互いのパスワードを覚えるのが難しくなりますから。」
「パスワード ポリシーをまったく強制していないのですか?!」彼は息を切らして言い、ページの最初の 8 つのチェックボックスにチェックマークを付けました。
"いいえ。"
「ファイルのセキュリティはどうですか?」と彼は続けます。
「本当に安全ですよ!」と私は言った。「業務データのほとんどは、当社のサーバーに保管しています。」
「ほとんどって言うの?」
「そうですね、時々人々は自宅で作業していて、それをウェブサイトにアップロードする機会がないので、USB キーや自宅のマシンなどに保存しています。」
「商業的に機密性の高い文書や知的財産などについてはどうでしょうか?」
「そうです、まさにその通りです。アクセスリストやVPN、監査証跡といった不要な複雑さを排除し、ユーザーがファイル操作をできる限りシンプルに行えるように努めています。そして、それらを排除することで、システムの動作速度は大幅に向上します。」
「バックアップは?」と2人目の男が尋ねます。
「時計仕掛けのように規則正しく!」とPFYは誇らしげに言う。「月に一度、すべてをDATドライブにバックアップしています。すべてです。毎月です!しかも、テープは1本ではなく3本も持っています。」
「毎日のバックアップは無しですか?」
誰かが具体的に要請しない限り、そうではありません。もし要請があった場合は、全ユーザーに確認し、要請があれば対応します。ただし、その際には、必ずユーザーに通知してから対応します。バックアップの前には必ず通知するというポリシーがあります。
「なぜですか?」監査人2が尋ねます。
「人々がバックアップを望まないものをバックアップしないようにするためです。」
「では、月次以外はバックアップを取っていないのですか?」
「普段はそうじゃないよ。」
「ウイルス、暗号化、ランサムウェアによるデータ損失が怖くないですか?」
「お願いです。もう何週間もそんなことないんですから!」と私は言い返した。
「そして、それが実際に起こったときには、人々にとって警戒を怠らないようにする良い教訓となる」とPFYは賢明にも付け加えている。
「つまり、パスワード ポリシーがなく、ファイルへのアクセスと変更に関する監査証跡がなく、定期的に増分バックアップを取っていないということですね。」
「うーん。いや」PFYは考えながら言った。
「合併によって状況が変わることはご存じですか?」と最初の監査人が言い返した。「正直に言うと、あなたの専門能力についていくつか疑問が投げかけられると思います。」
「なるほど」と私は答えた。「以前はほぼ全てを実行していたのですが、あのアスベスト事件の後、法務部門から、取締役会が「もっともらしい否認」の抗弁を行使する能力に影響を与えないよう、我々の行動を徹底するよう指示されました。」
「アスベストって何ですか?」と監査員2が不安そうに尋ねた。「この建物にアスベストは使われていたのですか?」
「あぁ…違うの?」私は疑問形に答えた。
「つまり、天井や配管、建物のインフラにアスベストは発見されなかったということですね。」
「建物の中に?」安堵を装って私は尋ねた。「いいえ。構造や設備に損傷はないんです。」
「でも、アスベストはどこか別の場所にあったんですか?」
「いえ、いえ。まあ、おそらくそうではないでしょう。つまり、私たちの製品のパッケージが開封されたかどうかにかかっています。ほとんどの場合、未開封のまま出荷されたので、何も問題なかったと思います。」
「あなたの会社はアスベストを使ったものを作っていたんですか?」と彼は息を切らして尋ねた。
「あの頃は時代が違っていたからね」と私は言った。「アスベストは耐熱性のあるキッチン家具に最適だと思われていたんだ」
「そして、これには記録があるのですか?」
「この件に関する記録は、社内のどこにも一切残っていないと断言できます」と私は言います。
「当時、バックアップテープはすべて破棄しました。メールの保管期限は最長6ヶ月です」とPFYは付け加えた。「漏れは一切ありません」
「実際」と私は付け加えた。「工場は取り壊されて、その土地は隣の学校に売却されたので、おそらくその会社がそこにあったという記録はないのでしょう。」
...
「刑事責任」などと言うよりも早く、契約は破棄され、関係会社はスタジアムから撤退しました。PFYと私は、そもそも削除しなかったバックアップ体制を復活させるために必要な残業をすべて負担しました。
ミッションコントロールでチキンディナータイム。
- BOFH: すべて
- BOFHアーカイブ95-99の完全版
