叡智の三猿

〜森羅万象を情報セキュリティで捉える

当サイトは、アフィリエイト広告を使用しています。

SESエンジニアとしての業務プロセスとは?

SESエンジニアとして客先に常駐していると、ことのほか余計な事務処理が多いと感じます。

SESとは「システム・エンジニアリング・サービス」の略です。エンジニアの労働力をお客様に提供する契約形態を指します。

客先に常駐する意味で派遣のエンジニアと同じと思われやすいのですが、両者の契約形態や指揮命令形態は異なります。

派遣は、お客様企業が要求するスキルに見合った技術者を派遣会社が派遣します。業務の指示はお客様企業側です、派遣されたエンジニアは、お客様の責任の元で業務を行います。

一方、SESはお客様企業から外注された業務を遂行します。お客様企業に常駐するのは、仕事を効率的に進めるための手段であり、派遣にはあたりません。そのため、エンジニアへの指揮命令は、お客様企業ではなく契約を締結したSES企業の管理責任者です。ですので、お客様企業が仕事の依頼をするのは、個々のエンジニアに対してではなく、管理責任者に対してです。

もし、SES契約のエンジニアに対して、お客様が個別に指示をしていた場合は、偽装請負と判断される可能性があります。

派遣契約とSES(準委任)契約

わたしは管理責任者としてお客様企業に出向くのですが、いちばん多いときは3社と契約してました。月曜はA社、火曜、木曜はB社、水曜と金曜はC社という具合です。

お客様企業は独自にプロジェクト集計をする関係で、SESエンジニアは参画しているプロジェクトの日々の作業実績をお客様の管理システムに登録します。一方、雇用されているSES企業に対しては、給与計算の為に日々の勤怠をシステムに登録する必要があります。更には、SES企業がお客様に請求書を発行するために、日々の稼働時間を営業システムに登録する必要があります。

一連の登録作業は、基本的に同じデータを登録するのですが、利用目的が異なるのでエンジニアが個々のシステムに入力しなければなりません。

そして、個々のシステムは認証のためのパスワードを必要とします。

そんな複数のシステムのパスワードを記憶するのは、厳しいので、つい同じパスワードを使いたくなります。

ただ、これは危険です。

サイバー攻撃者はソーシャルエンジニアリングなどの様々な手法を使って、システムユーザーのIDに紐づくパスワードを入手しようとします。

もし、ひとつのシステムのパスワードの入手に成功したら、攻撃者は入手したIDとパスワードを使って、別なシステムへと侵入を試みます。これは「パスワードリスト攻撃」と呼ばれる一般的な攻撃手法です。

システムを利用するユーザーの多くは、複数のシステムで共通したIDとパスワードを用いる傾向があります。その傾向を攻撃者が巧みに利用した攻撃です。プライベートで利用しているSNSや電子メール、ECサイト・・・あらゆるシステムでは認証のためのパスワードは使われてます。

それらが攻撃者に乗っ取られたら悲劇です。

  • 自分じゃないのになりすましたSNSへの書き込み
  • 注文した覚えのない商品の請求

ユーザーは使っているシステムのパスワードが漏えいしたら、同じパスワードを使ってるすべてのシステムに対して、パスワードを早急に変更しなければなりません。

ですので、パスワードは利用するシステム毎に違うものに設定するのが賢明です。

システム毎に異なるパスワードを記憶するのは、ことのほか、面倒ですが「一事が万事」にならない為の対策です。

幸い、GoogleやEdgeなどのブラウザは、パスワードマネジャーの機能があります。

パスワードマネジャーは、複数のオンラインアカウントやサービスのパスワードを安全に保存し、管理するためのツールやアプリケーションの総称です。パスワードマネジャーは、保存された情報を使って自動的にログインする機能を提供してます。そのため、ユーザーがシステムにアクセスする際、手動でログイン情報を入力する必要がなくなります。

これは、ブラウザを提供する会社にとっては、利用者を囲い込むための戦略的なアプリケーションです。

パスワードマネジャーは、とても便利ツールですが、落とし穴もあります。

それは、パスワードマネジャーにログインする為のパスワード(マスタパスワード)が強力であり、かつ忘れないことが必須なことです。

パスワードマネジャーにログインする為のパスワードが、攻撃者に解読されたら。複数のシステムで利用しているあらゆるパスワードが攻撃者の手に渡るかもしれません。そのため、マスタパスワードは英字の大文字、小文字、数字、記号を組み合わせた充分な長さを保持しておく必要があります。

そして、強力に設定したマスタパスワードを忘れてしまったら、あらゆるシステムへのアクセスが難しくなります。パスワードマネジャーを使うことで、わたし達は個々のシステムのパスワードを記憶することから解放されます。しかし、個々のシステムのなかには、パスワードを強制的に変更を要求することがあります。

その際、こんな感じの画面がでます。

パスワード変更画面

このとき、パスワードマネジャーに記憶させたパスワードを呼び出す必要があります。しかし、マスタパスワードを忘れてしまうと、旧パスワードを入力することができない悲劇にあうのです。