以前から感じていた、ソフトウェア開発現場でのPC管理について私が在籍したことのある会社を例にとって思うところを書いてみる。

新卒でソフトウェア開発会社に入社し転職を2回したが、ソフトウェア開発を行う時の個人個人の端末は大半がWindowsだった。Windowsを使う上で欠かせないのがOS自体とOffice類のパッチ当て。セキュリティのことを考えるのであれば当てるのが当然だろう。だが、ソフトウェア開発のプラットホームとしている場合、実稼働環境に合わせる必要があるためむやみにパッチを当てることができないことがある。

# 結合テストを行う場合は専用のマシンをたてて行うだろうが、単体レベルは個人の端末で行う場合が大半だろう。
## というか、そもそもセキュリティ情報が回ってこないような会社だったのもアレなんだけど…。

さて、このような場合昔いた会社ではどうしていたか。答えは「パッチを当てない」である。当然その端末は社内ネットワークにつながったままだ。このような状況で作業をしているとどうなるか。社内にウィルス・ワーム類が進入してしまうと、一瞬にして社内ネットワークを経由してウィルス・ワームが社内中に広まってしまう。実際、私が新卒で入った会社を退職する直前、NimdaだったかCodeRedだかが全社的に蔓延し、２日程度ネットワーク停止状態に追い込まれたことがあった。

このような状態になるのを回避しつつ開発環境を維持するのであれば、ネットワークを開発用の閉じたものと業務用の外部接続可能なものとに分け、各人に与えられるマシンも業務用・開発用の２台としてそれぞれの専用ネットワークに接続するという方法が考えられる。実際に会社の本社系部署に配属された人に話をしたが、コストのことを言われた。まあ、それは当然だろう。

だが、結局のところ、開発環境の保全・セキュリティ・コストの兼ね合い、費用対効果ということになる。だが、ウィルスのために全社的に２日間ネットワークが使用停止＝２日間業務が実質停止による損失はいったいいくらになるのだろうか。ソフトウェアのコスト算出の習わしに従って人月計算をすると、社員数が当時で3000人だったためかなりの額のはずだ。

ざっくり計算すると、
3000(人) × 1000000(円・人月単価) ÷ 10(2/30日) ＝ 3億円…

ちなみに私が居た某社、いまだにセキュリティに関しては甘いらしい。
変なところで金をケチらないで、必要なところには必要なだけ投資すればいいのに…。
「金にならないことはしない」という暗黙の不文律が社内にあるので、リスクを減らすための投資という考え方ができていなのだろう、きっと。そいうところだからこそ、あの会社に見切りをつける人が後を絶たないということに上層部は気がついているのだろうか？
昔にやめてしまった私がいえることではないかな。