| 本分科会では、「IT資産管理細則」を読み上げながら、随時補足、質疑応答およびディスカッションを行いました。 |
| |
【IT資産管理細則】 |
| ◆ |
第1章 総則 |
| |
第4条 (管理枠組み)
Q:この管理は集中購買が前提か?
A:標準製品については全社統一スペックで、一括管理/購入。標準外は、各部門毎に購入というモデルを想定している。
4-5
・「セキュリティ維持」とは、ウィルスの定義ファイルの更新およびセキュリティパッチの適用を指す。 |
| ◆ |
第2章 調達・導入 |
| |
第8条(標準外製品の扱い)
Q:研究部門では、標準外製品の数が多い。とても運用に耐えないと思われるが。
A:情報システム部で定期的に会合を設け、担当者に権限を委譲する。
部門から定期的に報告を義務づけるという運用では?
→研究部門を設けている会社は厳しいのではないだろうか。
→ネットワークにつなぐ場合には標準品を。それ以外は許可制とする運用もある。
研究目的のものでもネットワークにつながない物は対象外としている。
8-4
・標準外のものとは、デジカメデータ管理ソフト。年賀状ソフト等、スポットで使用
するようなものを指す。
・標準品を全部に入れるPCと選択可能なPCを区別したらどうだろうか。。
→ネットワークに接続するしないで線を引いて明確にする必要がある。 |
| ◆ |
第3章 設置・保管・持ち出し |
| |
第9条(設置)
9-2
Q:持ち出し可能資産という言葉が曖昧だと思うが。
A:情報が入っている物、サイズが大きいもの、あるいは非常に高価であるものを対象とする。
Q:CD等のメディアをどう扱ったらよいのか。
A:個人の手元にあるものは個人の責任で管理する。
→メディアなどは取り扱い規定でまとめて記述している例もある。
・暗号化の対象は、情報資産の機密度によって決まってくる。
Q:正式文書にする前の文書はどうするのか。
A:PCに入っているという前提で管理した方が良いのでは。最低限の防御は必要である。
→その場合の責任の所在は?
→最終的には個人に依存。
Q:暗号化ソフトは標準ソフトと考えるか?
A:企業によってケースバイケースだろう。順標準的な扱いになるのでは。
・文書については、機密文書取り扱い規定に則って暗号化すること。 |
| ◆ |
第4章 取り扱い・利用 |
| |
11条(メディアの接続)
Q:データのバックアップに外部記憶装置の接続が必要になる。バックアップは個人にまかせたいのだが。
A:データをファイルサーバに置かせるか、頻度によって申請で対応する。
12条(共有フォルダの利用)
Q:ユーザから利用制限の理由を聞かれる。サーバ上での共有フォルダ利用と何が違うか?
A:アクセスログが取れないのが大きな理由だろう。
Q:管理共有まで制限するか?
A:DMZ上のサーバなどは、管理共有も外すこともある。
13条(ウィルス対策ソフトウェアの常駐)
・常駐のみならずスキャンも必要。
15条 (PC等の保守・修理)
15-3
Q:リース品などのHDDを外してしまうと保守契約上まずいのでは?
A:リース会社とオンサイトでの修理契約を結ぶと良い。 |
| ◆ |
第5章 再利用・廃棄 |
| |
18条(廃棄)
Q:「機密性の高い情報」を持つPCを選定すべきか?
A:全てのPCを対象としたい。
・データの消去は、米国国防総方式、アメリカ国家安全保障局等の方法で消去するとよい。
・廃棄機器を再利用しないとする業者からは、証明書を廃棄時の写真付きでもらう。 |
| ◆ |
第6章 セキュリティ維持の確認 |
| |
19条 (機材の設置・保管)
・IT資産管理台帳の定義が無い。どこかで決める必要有り。
22条 (パッチおよびセキュリティに関わる設定の適用)
Q:適切にとは具体的にいうとどのような事か。
A:パッチの適用具合の確認を意味する。 |
| ◆ |
全体を通して |
| |
・全従業員という言葉に無理がある。部門管理者、全社員など扱う人を定義する必要有り。
・最終的なセキュリティ教育に落とし込んでいく際に、対象社員毎に切り口を設けてコンテンツを作成していく。
・体系的な文書を作成し、そこから抜き出す形でユーザ毎の正式文書に仕上げてはどうか。
→WEBや文書管理システムを利用すれば実現は容易。 |
| ○ |
規則遵守のための誓約書 |
| |
・規則を破った場合の処置は
-上位の倫理綱領に記述する
-従業員規則を参照する等としている。
・日本企業に、サイン/判子はなじまない。
・やはり教育が重要。最終的には個人のモラルに依存せざるを得ない。
・派遣社員の場合でも誓約書を書かせている。 ・誓約書を書かせても、なかなか効果が出ない。特効薬は処罰だろうか。
→処罰しても、総務からの指導や職場風土から公表しないことが多いのではないか。 |
| ○ |
研修、教育 |
| |
・誓約書の中に、WEBトレーニングの受講を義務付けている。
・教育を受けたがらない人は、経営層。集合研修、実際のリスクを想定した研修を実施し、意識を高めている。
・中間管理職の定期教育。最終的に中間管理職が責任を持つという教育をしている。 |
| ○ |
違反時の罰則 |
| |
・労働組合がある場合は、事前の協議が必要
・海外拠点では現地法人と討議し、サインの上決めている。
・人事部より、組合問題があるので、罰則規定を公式文書に残さないよう言われている。 |
| ○ |
社員のメール閲覧によるプライバシー侵害 |
| |
Q:社員のプライバシーメールに制限をかけることは可能なのか。
A:メールは会社の資産なので、基本的にはどのように取り扱っても可。
→ヨーロッパでは該当しない。ベルギーなどではメールのフィルタは国内法で禁じられている。 |
