偉い人から招集され「我が社のUSBメモリの管理はどうなってる!?今すぐ調べて」と言われ苦しむ人が続出する予感
状況確認が必要かどうかはわからんが、当社ではもうとうの昔に可搬型メモリデバイスの利用は原則禁止で業務上必要な場合は一時的利用のみで、且つ、管理者の管理下で利用し金庫保管(保管時は空を厳守)になったよ。
まぁ、いるのだろうけど、今さら慌てるのは流石に遅いのでは。
今までも何件も似たような事件もあったし、情報流出・漏洩事件以外にも、ウィルス感染等のリスクもあり、何度も禁止する機会はあったわけで。
当社も何年前か忘れましたが、私がある程度主体的に対応しました。
当時はまだシステム系統が子会社化されておらず、私の部門の直下の組織でしたから、経営層への導入提案は私が主導し、展開はシステム部門での対応を依頼しました。
導入の中心は運用面での管理体制とシステム面での管理・監視体制の強化。
運用面については、今ほどではないものの当社のグループは様々な事業会社を抱えているので、全面禁止は難しく、ネットワークが繋がっていないシステム間(勘定系や顧客管理系の一部は完全に独立)での情報のやり取りの為にはどうしても廃止できない部分もあったので、運用面での管理体制は利用を前提としてどのようにするか、という点で整理し立案しました。
比較的容易に進んだ背景として、当社は自社でコールセンターを持っており、そもそもコールセンターでは個人物の持ち込みが原則禁止される程度には管理体制ができておりましたので、その為、そういった特殊な環境において利用するとしても、そもそも私物持ち込みの制限や利用可能デバイスの制限という事自体が文化としてそれ程抵抗感がなかった事もありがたかったですね。
社内での利用は暗号化機能付きのUSBメモリを利用し、情報セキュリティ面で区画分けされたエリアを跨ぐ事を禁止した上で、区画内の特定端末でのみ動作するように設定し、台帳の記録と金庫(一部鍵付き書庫の利用を許可)での保管、保管時には必ずデータが書き込まれていない事を確認するという事で一部の業務での利用を継続し、それ以外は前面的に禁止する事としました。
システム面ではログ管理とデバイス管理を行う必要性があると感じましたので、当時その手のサービスを扱っている会社から4種類ほどの製品・サービスを取り寄せ、全てを私が確認し、評価、当時はまだ未上場だったSkyさんの商品も含め評価しましたが、最終的にSky以外の製品にしました。
その時の全てを覚えているわけではないのですが、Skyさんではない採用した製品は、パッチ配信管理(Windows製品だけでなく他製品もスクリプトである程度制御可能)もよく考えられており、ライセンス的も安価でしたので、自社内での運用が必要な為一定の負荷がかかると想定されたものの、幸いにも当社にはシステム(運用メイン)部門がありましたからそこでの運用で問題ないと判断し採用を決断しました。
サーバ構築と初期の立上げは私の方で直接導入から稼働まで行い、運用フェーズからはシステム部門にスイッチするという事で、導入自体は特段の反対も問題もなく完了という感じでしたね。
このサービス自体はその後色々問題(10年以上も使っていると内部で利用するDBのバージョンやOSの刷新が必要な事や、DB不正合/ソフトの不具合によるサービスの停止等)もありましたが、今でも稼働中です。
なかなか便利なもので、特定ソフトのバージョンが古い場合は自動でアップデートさせる事もできますし、それらの配信状況もモニタできるもので、今では普通の製品に見えますが、当時はなかなか先進的で、例えばFlash関連の脆弱性がでる等したときは即時にシステム部門にてパッチを取得し、配信スクリプトを準備、配信開始、展開状況をモニタし、遅延している端末があれば当該部門へ適用を指示、一定期間の間に対応がなされない場合は脅威が残っているとして会議へ報告し是正指示を改めてだす、こういった流れが綺麗にまわるようになりました。
今ではもっとよい製品がある事も判っていますが、このソフト・サービスの導入により社内での計画の作成を始めとし、モニタリングから適用までの管理プロセスがある程度定着した事は、何よりの収穫だったと思います。
ぶっちゃけこの手のサービスは運用し続ける事が大事で、それが定着しないとただのゴミですからね。
私自身はもう直接は社内システム関連業務に携わっていませんが、複数会社の様々な運用状況にあるデバイスを統合的に管理するという事について、企画から実施、運用・管理まで携われたのは非常によい経験になりました。
それ以上に、当社のシステム部門(現在ではシステム系の子会社として独立)は運用メインでプログラムをかけるわけでもなく、システムの導入のような知識や経験をもっているわけでもない部隊でしたが、それが徐々に成長し、最終的には自社グループのシステム管理や提案、その運用だけでなく、社外の企業へのサービスの提供が行える程度には成長し、その成長の一つのきっかけになった、きっかけを与える事ができたという事は、自分の経験の中でも大きな功績の一つであったと自負しています。
自分が成長する事は正直やる気だけでなんとかなりますが、自分ではない人、自分が管理しているわけではないチームや組織を新しい目標へ向かって歩んでもらうという事、これはなかなか大変で、当時は稼働(勤務状況)の負荷のモニタリング(特定の人に偏りがちだった)から、業務分散の為の対応(業務の整理、対応マップ、スキルマップを整理し、スキルシェア/トランスファーの立案から支援まで)も含め関与しましたから、なかなかの一大プロジェクトでしたし、人生の真面目ゲージの半分程度はもっていかれたかなと思います。
その後はシステム部門の方でも、新しいサービスへの部分的な移行等も行い、例えば当社はリモートワーク対応も比較的素早く対応(とはいえ、リモートワークしている人間自体が少ない・・・出社好きが多いのはなぜなのか・・・)でき、この辺りも、そもそもデバイスのデリバリーから管理までが一元化されており、端末の管理自体もロギングも体制が構築されているからこそ、極論言えば、どこでも影響はないという事でもあります。
実際のところ、この手の対応は情報漏洩に関する対策も大きいですが、実際には業務効率化の観点からも有効です。
デバイスの統合的な管理ができるとデバイス管理の負担が図りやすくなり、投資計画も立てやすくなります。
システム投資額がある程度予測できると資金管理面でもメリットは大きく、次はいつどの程度の投資が必要か、それはどうしてなのかが定量的に把握できますから、現場としても経営層としても両面でメリットがあります。
その上で、情報漏洩リスクの低減、ウィルス等のリスクへの対策強化、管理が行われているという事の周知による社員のセキュリティへの意識の改善(何もやっていないと思われれば思われる程、あまり良くない行為をする人が増える・・・)が期待できますから、運用面への影響をちゃんと序盤で把握しコントロールできればやらない理由はないでしょう。
まぁ、ログ管理に関してはそれ程積極敵に利用しているというわけではありませんが、端末ログだけでなく、メールやクラウドサービスの監査ログも取っており、社内での不正があった場合、例えば社員が自分のメールから転送かける、何かしら不正なメールのやり取りをする等の事案がおきた場合も、端末側もクラウド側(メール・ファイルサービス等)も全てログ管理されているので、手を抜いているわけではありませんが、ではそのログを常時厳格なルールで監視しているかというとそこまではしていません。
プライバシーの観点から常に全てを見る事に、私を含めあまり賛成していない事や、そもそも全台、あらゆる事を想定して管理するには、自動化・ルール化を駆使してもそれは現実的ではないと考えており、そこに大きな投資をするのであれば、社員教育や職場環境の改善(ヤバい事をしたいと思わせず、とりあえず明日もここで働こうかなとおもっていただく)を推進する方が費用対効果も高いよね、という感覚なので、一定のルールによる自動監視と所属部門や事業会社からの何らかの申請により必要に応じて監査を実施するという程度の運用でも良いだろうという感じです。
正しい判断かどうかはわかりませんが、まぁ、今の所悪さをしている人間はいないかなと。
何れにせよ、この手の対応は相当前に実施済みで、当社に限らずいろいろなケースを見聞きしていると思いますから、自社がトラブルを起こす前に、今からでも動かれる方が良いでしょうし、動くのであれば、マイナスの視点ではなく、合わせて既存の問題点の把握を行い、同時に解消する事で、未来への投資にもなるというプラスの視点で行ってはどうかと思います。
まぁ、大変ですが、がんばっただけの恩恵は、ちゃんとやればありますので、がんばりましょう。
