業種によって、セキュリティ対策の方法などはバラツキがあるようです。特に個人情報を取り扱うECなどネットサービスの事業者にとって、個人情報の保護は至上命題になっています。
ただ、どの様な業種を見ても社内にはレベルに応じたアクセス権や基準が整えられており、細やかに対応していれば、基準に応じて利用可能なアプリケーションやWebサイト、更には持ち込み・持ち出し品規定などが決められています。

IT業界でも、この基準は概ね一致しています。特にお客様のシステム運用を自社オフィスからリモートで実施するような場合は、高い基準点を定めています。ただ、この運用などで見聞きする実態は、かなり「お寒い」状態だと思うのです。

例えば、通信アプリと言われるようなソフトの利用です。既に、企業が配布するスマホやiPhoneにMDMが設定され、基準に合わないアプリがインストールされないような仕組みがとられています。また、先ほども書いたようにPCへのインストールも制限が掛かっていますし、監視も行われています。が、自社が提案するような高機能のシステムが利用されているわけも無く、かなりチープな管理がまかり通っているようですね。
一般に、チープなものと言うと抜け穴が大きいように思われますが、実際には逆のケースも多いのです。つまり「壁」を作ってしまって融通が効かない場面が多く、先ほど書いたような通信アプリが「全てダメ」とされていたりします。

ところが、最近ではお客様側で（さすがにLINEを効いたことはありませんが）、そこそこ名の通った商用の通信・SNSでのコンタクトチャネルを要望されることも少なくありません。また、外国の企業と付き合うと、Facetime、あるいはSkypeでの会話も多いのです。ところが「ウチ、禁止なんですよ」と言われると…。羹に懲りて膾を吹くとも言いますが、羹を見ただけで逃げているような気すらしてしまいます。しかも理由が「何処かのお客さんからの要望みたいなんですよねぇ…。だから情シスに掛け合っても何も動かなくって」と既にチャレンジをしているとも聞くと…。LAN内でのアクセス権限やPC内の資産管理、あるいはスマホでのMDMで監視すれば、どうにでも成るんですが…。

ただ、実際には
　お客様から言われた⇒唯々諾々で合意
と言う経緯かと思うのです。
本来であれば、
　お客様から言われた⇒制限事項の検討⇒対象領域の明確化⇒合意
なのでしょうが…SES会社さんだと、一旦合意した内容を覆すようなネゴぢからは…みたいです。