第二回IT資産・ソフトウェア管理分科会(大阪) 議事録
第二回IT資産・ソフトウェア管理分科会(大阪)
議事録 |
日時: |
2003/10/29(水)
14:30〜17:30 |
会場: |
ヴィアーレ大阪 2F エメラルドルーム |
|
|
発表内容: |
〜S社における非IT系管理手法の事例発表〜
|
|
司会・進行: |
IT資産・ソフトウェア管理分科会(大阪)
座長 柳原秀基 氏
「システム管理者の眠れない夜」著者(月刊Windows Server World誌上連載) |
|
※当分科会の運営方針により、個人/会社名を特定できる発言、および発表者から公開の許可を得られなかった内容は
議事録より削除されています。あらかじめご了承ください。 |
|
■ |
座長からの挨拶 |
|
危機管理の対応については社外秘の部分が多い。
本日は普段であれば情報交換が難しい内容です。積極的に発言していきましょう。
|
|
■ |
プレゼンテーション(発表内容は資料をご参照ください) |
|
不測の事態に備える:
MSBlasterの対応について
・事前に夏休み前に予測し、社内のITでは情報の共有を行っていた。
・不測の事態が発生することを、全社通信で連絡済にしていた。
・夏休み中は、工場は休み、インフラの工事等、色々な状況を予想して対応策を決めていた。
・連絡網は「平常時」と「緊急時」、必ず伝わることを重視して、2系統配備。 |
|
|
対応策:
・MS Blaster対策本部を一時的に作った。
・館内放送、張り紙の指示を事業所や工場にした。
・従業員入口(必ず目に入るところ)に張り紙。
・セキュリティ対策
→社内リソースにアクセスするPCにプライバシーは無いことを明言している。
→必要なパッチを当てないPCは社内掲示板に実名で掲示。
→ゲートウェイからサーバ全て一社に統一している。理由:対策工数の削減。
→インターネットの入口は一箇所、メールの出入口も一箇所に統一。 |
|
■ |
ディスカッション |
|
★ |
ITに依存しない管理について |
|
・非常時の連絡方法が課題。ニムダの時には通信はFAXと電話で行ったが、FAXがパンクした。
→あえて、非ITを残すのもセキュリティ上必要。
・連絡網は紙の台帳も必ず作成する。
・人員削減で専任者はなかなか置けない。
会社は何か起こらないと動かない。予測の段階で動くコツは?
→信頼を得ること。なにか起こった時、こうしたから、こうなったと言うこと。 |
|
|
★ |
エンドユーザへの情報通達について |
|
・社内のポータルを使用。
・MSのWebページをそのまま掲載。しかし、内容がわからないと質問を受ける。
・ポータルにはMSの内容をそのまま載せるが、自社内用にわかりやすく書き直した内容をメールで送るようにしている。
・エンドユーザにわかりやすい文書で書くようにしている。用語の統一
・MSの情報はすべて社内の言葉、素人でも分かる言葉になおしている。
・通達は上司のところで止まる場合がある。自部門で何をすればいいかを判断するのに時間がかかる。
・メーカーからの情報は検証のしようが無い。まだ危機感を持つレベルにない。
・情報通達を浸透させにくい。ユーザの教育が課題。
・社内掲示板上で情報交換が活発になり、社内の意識が変わってきた。良い傾向にある。
・イントラ上で啓蒙活動、情報提供を行っている。PC内のプライバシーはあるという職員もいてリテラシの意識も低い。 |
|
|
★ |
セキュリティポリシについて |
|
・セキュリティーポリシは一応ある。
・部長職以上にはセキュリティポリシが配布される。
・セキュリティポリシは全社で作成するのか、部門で作成するのか?
→まず、全社規定ありきで、その中で部門で作成。
・セキュリティポリシに関しては認識が低かった。
・親会社のセキュリティポリシに頼っている。
・ウイルス対策よりも、IT資産管理台帳など、監査に必要なものを重視していた。
・PCを渡すときに一筆取っている。
・情報漏洩に注目している。誓約書を書かせたりと、規定を厳しくしている。
・メールでの添付ファイルは禁止という方向でやっている。
・業務の関係上、お客さんの環境にあわせるために、パッチを当てられないPCがあり、統一できない。
→セグメントを切り離すのが一般的ではないか。 |
|
|
★ |
セキュリティ部門の監査について |
|
・社外監査に頼っている。
・監査室から指摘を受ける。(監査は年一回)
システムの監査は、通常の会計監査とは異なる。システム監査の能力を持っている人がいないのでは?
→セキュリティ監査ができるような知識を持った人は、監査室ではなくシステム部門に配備される。 |
|
|
★ |
PCの不正接続について(外部からの接続や、外注の方のPCなど。) |
|
・基本的に、社内規定に合わないPCは接続させない。
・不正使用に関しては、教育を行おうと考えている。
・教育や啓蒙活動など大切だが、人事考課とリンクすれば効果大。
・社外のPCを持ち込んで仕事をやる必要がある場合は、別に線を引く。 |
|
|
★ |
その他 |
|
通達を出してもなかなか対応してもらえない場合は?
→掲示板に名前を公開。
→守らない人に対して、ネットワーク接続を切る。個人ではなく、セグメント単位。
私的利用した場合にの規定は?
→社内通達では、常時監視してますと言っている。(実際には行わなくても。)
→たまにログを見て、問題があれば掲示板に出している。
→抜き打ちでチェックするような仕組みを作成するしかない。
ライセンスの問題やIPアドレスの問題は?
→不正コピーを発生させないような契約形態を考えている。EA契約など。 |
|
|
|
事務局: |
「情報を正確にエンドに伝えるのが大変である。」と再確認しました。
クライアントまかせは本当に大丈夫なのか?
→セキュリティパッチについては、今なお多くの企業がその作業をクライアントに依存している
(事務局よりデータ報告)。
セキュリティパッチの適用管理に関するソリューションをクオリティのWebに近日掲載します。 |
以上 |
|
|
|
|
|