質問

2007年03月15日 17時23分
  • ネットワークでの個人パソコンの管理

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

山形の50人程度会社で、飲食店をいくつか持っています。経営をしているものですが、あまり本社にいないもので、内部でのコンピューターによる活用状況は本部のIT担当者に任せています。

コンピューターは詳しくなく、ある社員からパソコンの使い方について、問題があるようだとの報告を受け、調べてみたら、ネットで仕事以外のことで使っている(インターネット)ことや、メールでも個人的にも使っているようで、その程度ならいいですが、個人情報もあることから、一般的に騒がれているような、内部情報が漏れるようなことがあってはと心配です。
今のシステムは、昔からの販売店からそのまま更新して使っていたので、ネットワーク上のセキュリティに対しては、あまりお金をかけていません。その余裕もないということもありますが。でも、外部に迷惑をかけると元も子もないので、とりあえずネットワーク上のパソコンの管理をしようかと思ってますが、今の販売店はあまり頼りになりません。製品や販売店の選び方のコツみたいなものはどうでしょうか。

3件の回答があります

回答

みたらしだんごさんへ、直接関係はないですが、今のシステムを導入するときに、その辺のリスクといいますか、管理上の話はなかったのでしょうか?結構不思議なことに、周りの企業でそんな話を良く聞きますので。
つまり売るだけ売って、実はこんな問題は起こるかもしれませんよ、とは言ってないかその時は分からなかった、というようなレベルの低い販売店が多いのが事実です。
結局情報システムを担当者にだけまかせたことが問題。これからは経営者もITリテラシを高めるということではないでしょうか。それでようやく良い販売店を見極めることができるはずです。なんて思いました。

2007年03月16日 01時16分

回答

marotabiさんの意見を踏襲した上で・・
たしかに、「後から気づいてみると・・・」という話をよく伺います。
「インフラ整備≠セキュリティ」という様に考えがちなのも理解できます。

一番最初にありきなのは、トップダウンによるIT資産運用ルールの策定ではないでしょうか?
某ウィルスが蔓延しているおかげで、「私用PCを社内ネットワークに接続する」とか、「社用PCを私用に流用する」といったことが「危険」であるということは広く認知されるところでしょうが、それを明文化して社内に告示するのが、まず最初だと思います。

「製品や販売店選びのコツ」という観点から言うと、よほどの予算がある場合意外は、一見安価だけれども運用コストが必要となったりする中途半端な検疫ネットワークシステムの導入などよりは、「私用PCの社内運用は禁止する」がありきじゃないかな・・と思います。

みたらしだんごさんの様な事例に対する検疫ソリューションは多数ありますが、どのようなソリューションを導入しても、それを運用する社員に対してなんらかのアクションをとっておかなくては、結局のところ「無駄なコストをかけるだけ」になってしまいかねません。

同じようなソリューションが乱発気味のご時世です。「社内ルールの運用を前提にしているソリューションを提供している所」というのが基準だと思います。
そして、「ルールだけではダメだから必要なセキュリティソリューション」というジレンマに対して、みたらしだんごさんがトップダウンで行った決定をサポートしてくれるSIさんが理想・・ですね。

って、仕事開けの明け方に理想論を語ってしまいました・・・SEらしくないなぁ・・・(汗

2007年03月25日 03時46分

回答

ハードやソフトに頼るのはお金もかかることなので、まず規則を作ってはどうでしょうか。 
どのようなシステムなのかが判りませんが「調べてみたら」とありますので調べようとすれば調べられるということでしょう。
私なら ということでのシナリオは
規則を作って通知徹底させます。  しばらくしたら調査して違反者がいたら発表します。このときは匿名です。「ネットを個人利用していた者がいる。このような事は規則の第XX条に違反する。今後、注意するように。」と通達します。 その後は一定期間毎(例えば2ヶ月)に調査します。それであまりにも悪質な者、何回も違反する者は訓告処分し実名を公表しますがまずそんなことにはならないと思います。
規則は ネットワーク利用で会社に損害を掛けないこと。 個人利用は禁ずる。 指定したセキュリティ策(ワクチンソフトを入れろ、監視ソフトを入れろなど)を守ること。 会社は監視の為にメールや通信を傍受する権利があると明記する。 と言った内容にします。 就業規則があると思いますのでその中に入れるか付帯事項か別規則にします。

なんか厳しい事を言いますが実態はそれほどではないと思います。「違反がX回あった」と公表するだけで違反は無くなると思います。
メールの私用利用はうるさく言わなくてもよいと思いますが チャットのような使い方は業務に差し支えるので禁止します。

先日、某自動車部品メーカで技術情報漏洩があったのですがそれで社長が心配して「情報漏洩を無くすにはどうしたらよいか」と言われたので「社員に反感を持たれるような経営をしないことです」と答えて大笑いになりました。(いえ笑い事ではないです。)

2007年04月02日 00時05分