社内のルールを整理する
IT管理者の業務の多くは、IT機器の管理やインフラ整備の計画、日々のトラブル対応など、直接ITに関係するものです。しかし、それらを突き詰めていくと、最終的には社員の意識にたどり着きます。
例えば、実は情報漏えいの経路で最も多いのは「紙媒体」で、全体の約67%を占めます。以下「インターネット」「電子メール」「USBメモリー等の可搬メディア」と続きます。(NPO日本ネットワークセキュリティ協会 2014年度調査)
この数値はデジタル面ではセキュリティ機器の導入である程度抑止できている一方、社員の意識がまだ低いことを示しています。
まずは社内ルールを明確にし、的確に運用していきましょう。社内ルールの策定はセキュリティ面だけではなく、障害が起きた場合の対処や機器の入れ替えなど、IT管理者の業務の効率化にもつながります。
IT運用の基本
ITインフラを効率的に、かつ確実に運用していくには、次の3つの要素がポイントです。
ハードウエア・ソフトウエアについては、必ずしも高機能なものがよいとは限りません。機能よりはむしろ確実性。自社の特性に合わせた選択が大切です。
また、いくら環境面でセキュリティを強固にしても、利用する側が正しく使わないと思わぬところで情報漏えいにつながります。
社内PCに最新のアンチウイルスソフトを導入していても、家で仕事をしようと顧客データを自宅のPCに送ったところ、そのPCがウイルス感染していて顧客情報が流出してしまうこともあり得ます。
どういう利用が望ましいのか。何がよくて何が悪いのか。
まずは社内ルールを明確にし、社員教育を行っていく必要があります。
ルールの例
ハードウエア・ソフトウエアの統一化
ハードウエアの機種や使用するソフトウエアの種類・バージョンを統一することで、運用の効率化が図れます。
障害時の対応や代替機の手配もスムーズに行うことができます。
私有機器の取り扱い
情報漏えいのリスクが高い私有のPCやUSBメモリー等の可搬メディアの利用は許可制にします。
業務上必要がある場合は上長経由で管理部門に都度申請を行うこととします。
遠隔地のサポート
遠方の拠点の障害対応に備えて、ルーターなどの基幹装置にわかりやすい独自の名称をつけるのも一つの手です。
電話での対応時に、相手の方がITに詳しくなくてもスムーズな意思疎通を行うことができる工夫です。
教育の取り組み
ルールが決定したらそれを社内に告知・徹底していきます。当初は思うようには浸透していかないことが多くありますが、繰り返し案内をおこないましょう。単に「ルールを守ってください」ではなく、なぜそのルールが必要かの説明も大切です。
ルール遵守のためには、やはり会社トップの意思表示と実際の行動が効果的です。
また特に新卒社員に対しては「会社のPCは安全優先で、個人所有のPCより制限が多くなっている」という意識づけも必要です。
今の新卒社員は、入社時点である程度のIT知識があり、すぐにでもPCを使いこなせる下地があります。しかし、逆に知識があるからこそ、自分のPCをもっとよくしたいとあれこれチューニングしたり、私有のスマートフォンを接続したりしてしまいがちです。社内ルールをしっかり守るように指導することが大切です。
快適な業務環境を作るために バランスとPDCA
ルールを作っていくと実際の運用とはかけ離れたルールができてしまうことがあります。特にセキュリティ対策では、何かと制限する方に動きがちです。しかしあまりに制限しすぎて生産性が落ち込んでしまっては本末転倒です。
それを避けるためには定期的に見直しを行い、実務に合わせたルールへの改訂が大切です。
- ルール自体の定期的な見直しを行う。
- 改善すべき点は改善する。
- 生産性を落とさないための工夫を行う。
社内ルールは一度決めたらそれで終わりということはありません。PDCAをまわし、バランスを考慮して修正していきます。
常に業務に則した検討を行い、より良い社内ルール作りを進めていってください。
