質問
弊社も業務で使うソフトでフリーソフトも普通にありますので、個人の判断に任されているところがありますが、ソフトに基準を設けるのではなく、個人のスキルに対して許可をしています。
分かりやすいところでは、フリーソフトのアドウェアをインストールしないレベルの知見があるか、です。また、フリーソフトのダウンロードはダウンロードまとめサイトみたいなところでは無く、本家を探せるスキルと意味を理解している人。
困った時の対処がある程度自分で出来る人、などです。
チームごとに使用するソフトが違うので、そのスキルを持った人を中心にインストールするソフトを決めて報告してもらってもらってます。(一応、棚卸しソフトでも確認できますが)
ソフトそのものでいえば、即時フォーマット可能な検証環境を用意して、そこでテストインストールします。余計な物がインストールされないか、アンインストールで消えてくれるか、といったあたりをチェックします。タスクスケジューラにマルウェアをダウンロードしてくるタスクを登録するものもあるので、そこもチェックしておきます。
ネット上の情報としては、悪評もそうですが、メーカーの収益構造を見るようにしてます。フリーウェアを配るかわりにどのような形で利益を得ようとしているか、ということです。収益構造が見えないものは、潜在的な危険が高いと判断します。
あとは、開発の継続状態を見ます。フリーウェア文化を支えてきた昔からの開発者たちは高齢化しており、開発を中断しているものが多いです。新しいOSへの対応やセキュリティ・パッチが行なわれないものは、基本NGと判断します。
ケースバイケースでしょうか。個人的には、便利なものはどんどん使って頂いて業務効率を高めてもらいたいとは思うのですが、セキュリティの問題などもあり、なかなかそうはいきませんよね。基準を作ってガチガチに固めることもできるとは思いますが、昨今の技術の進歩を考えるとルールが陳腐化して、プライベートは現代だが会社に行くと昔にタイムスリップなんてことにもなるかもしれません。
情シスメンバーが評価をしてどのようなメリットやリスクがあるか説明出来ると良いと思います。
また、ユーザーに対するリテラシー向上の施策も必要になってくると思いますね。
私の場合は、いろいろ検討した結果、
運用としては、許可リストのみ作成し、それ以外は申請がない限り利用不可にしています。
一応こちらから見れるように資産管理ツールを利用してますが、年1回のたな卸し以外は、特にチェックしてないです。
質問
社内で色々なところから様々なアプリケーションを入れたいという要望が出てきますが、皆さんはどのような基準で許可しておりますでしょうか?
チャレンジングな社風なので業務も幅広いようで、あまり厳しくする事もできないのですが、判断は求められてしまいます。
「何でもは知らないわよ」と言いたいところですが、ググってて怪しい情報が出なければ概ね許可している状況です。
そういう時はここは見とけ!というような所や、こうしてるよ、こういう基準が大事、など参考ご意見が伺いたく。
よろしくお願いいたします。