PCネットワークの管理活用を考える会/クライアント管理分科会、関西座長の柳原です。
本会の活動も10年目を迎えました。私は平成14年度から始まっている関西方面での分科会から参画していますが、それもはや丸2年が過ぎたことになります。分科会活動は,毎回熱心な参加者の皆さんに支えられ、おかげさまで充実した議論を重ねる場に成長したと思います。ここで行われる議論は、情報システムを運用管理する現場からの声が中心であり、参加者はもちろん、講師として招かれた方にとっても有意義な場となっています。
平成17年度の活動は、7月に開催される大会から始まります。東京では7月8日(金)に、大阪は7月15日(金)に開催されます。多数のみなさんの参加をお待ちしております。
平成16年度の分科会活動において話題に登ったのは、兎にも角にも「情報漏洩対策」と「個人情報保護対策」の2点であったと思います。この2つの対策を実施していく上で、重要なポイントは何なのか、そして対策を実行していく上で何が障害になり、どのような回避策があるのか、といった議論が多く交わされました。
もちろん参加者のみなさんは、それぞれの属する業種や部署の違いがありますから、それぞれにとって、決定的な答えが得られるわけではありません。しかし、他社がどのように考え、どのような対策を打っているのかという情報は、こうした異業種が集まる会でなければ得られないものです。
また、IT系メーカーが売り込むセキュリティ製品にも、そのメリットの裏側に様々な問題も存在することも意見交換されました。こうした情報は、メーカのカタログからは得られないものであり、実際のユーザが生の体験を語りあうことによって可能となっています。平成17年度以降も、情報システム管理に直接携わっている参加者の皆さんの知恵を拝借しつつ、有意義に進めていきたいと考えています。
さて、情報漏洩対策を検討していくときに、筆者が忘れないようにしている視点があります。それは「ユーザはどう考えているのか?」というものです。情報漏洩対策に完璧な仕組みを求めるのは困難なので、大なり小なり、ユーザの協力を得なければなりません。どうせなら、気持ちよく協力してほしいですよね?
ここでひとつ、たとえ話をしましょう。企業が入居しているビルには、その電源や空調を管理しているビル管理部門があると思います。また、入退室をチェックしている保安部門もあるでしょう。そして、彼らの部署が何のために存在しているのかを疑う人は少ないではないでしょうか。なぜなら、彼らの働きによってビル全体の物理的な環境が守られ、外部からの侵入者を防いでいる、ということを、誰もが知っているからです。
では、情報システムを運用管理している部署はどうでしょうか。同じようにその仕事は理解されているでしょうか。
ビルの電源や空調と同じく、今日の情報システムやネットワークは動いていて当たり前であり、トラブル時に対応してくれる、という点では業務のインフラを支える仕事として認知はされていると思います。ところが、ビル管理部門や保安部門とは大きく違う点があります。それは、ユーザが目にしている対象です。ユーザが見ている情報システムは、クライアントPCの画面であって、システム全体ではない、ということです。保安部門が人の出入りをチェックしたり、ビルの周囲を警戒しているのは、誰の目に見えますし、9.11のような事件以降、たとえばビルの出入り口で手荷物検査が行われるようになったとしても、その必要性は理解されやすいと思います。ところが、情報システム部門がネットワーク上のトラフィックをチェックしたり、サーバの動作を監視したり、アタックされていないかどうかをチェックしているような仕事は、一般ユーザの目にはまったく見えず、よく理解できない仕事なのです。
また、厳密に運用管理されている情報システムであれば、クライアントPCの画面から操作できる対象となるデータは、ユーザ毎に異なっているでしょう。ファイルサーバやデータベースに対するアクセス権は、担当者によって違うでしょうし、企業内ポータルの画面も、パーソナライズされているかもしれません。共通なのは、日常の伝票処理を行うワークフロー程度ではないでしょうか。すなわち、ユーザの立場になってみると、情報システムというのはとても個人的なモノであって、それがバックエンドで全社的にどのように統合されているか、などという全体像は想像しずらいものなのです。
Windows PCがActive Directoryや統合管理ツールなどによって運用されているのであれば、まだマシです。単にワークグループが乱立していたり、他のOSも混在しているような無秩序な環境では、デスクトップの見た目すら全く違います。そのような環境では、クライアントPCはまったく個人別に動いているものだとユーザが理解しても、それがあながち間違いとは言えません。
一方、情報システムを管理している側は、情報漏洩対策をどのように考えるでしょうか。まず最初に、管理範囲内にどのようなクライアントPCとサーバがあるのかを調べます。棚卸し、というやつですね。この際に、サーバやネットワーク機器などの重要機器が設置されている部屋の、物理的な出入り口もチェックすることになるでしょう。その上で、情報漏洩の可能性があるユーザ側の情報の出入り口を調べます。主にクライアントPCとその周辺機器です。
そして、唖然とするのですね。
USB、フロッピーディスク、CD-Rと、もうよりどりみどり。ノートパソコンなら、SDカードなどが直接装着できるかもしれません。赤外線通信やブルートゥースもあります。無手順通信の知識のある人なら、シリアルポートでファイル転送してしまうかもしれません。今時のPDAは、GB単位のハードディスクも備えているのです。そんなものを持ち込まれた日にゃ・・・
ということで、たいていの情報システム管理部門はお触れを出そうとします。
ノートパソコンの社外持ち出しや私物の持ち込みは禁止。フロッピーディスクやCD-R、USBポートや赤外線通信の使用も禁止です。もちろん、そこに接続できそうなUSBメモリ、PDAやカードリーダ類、MP3プレーヤー、デジカメの類もだめですね。簡単に取り外しできるUSBやネットワーク接続型の外付けハードディスク装置なんて論外で。ひょっとしたら、携帯電話もだめかもしれません。
(余談ですが、Windows Mobileを搭載した携帯電話というのは、まだ発売されないのでしょうか)
そして業務上、どうしてもこれらの機器を使わなければならないのであれば、事前に使用許可申請書を出しなさい、ということになるのでしょうね。どう考えても面倒なことこの上ない状況が生まれるでしょう。
え?その申請画面をWebで作って、誰に何を許可したかをデータベースにしたらいいんじゃないかって?もしあなたがこんな事を考えてしまったのなら、あなたはIT技術オタクであって、情報システム管理には向いていません。情シスたるもの、ITの技術に長けている事は必要ですが、技術だけで問題を解決しようとしてはいけないのです。
社員だって人の子です。いちいち使用許可申請を書くなんて面倒すぎてできっこありません。そもそも実行できないことを「やれ」と命令されたり、やってはいけないことを「やれ」と無理強いされると、人は思考停止に陥ります。もしくは、次の抜け穴を探すことになるのです。
情報システム管理者の立場からは、表向きは完璧な情報漏洩対策を実行したということになるのかもしれません。しかし、社員の側は思考停止、もしくは抜け穴を探しているのです。これは正常な姿なのでしょうか。どこか、おかしいですね。
皆さんは、車やバイクを運転するときに、常に考えていることは何でしょう。それは「安全」ではないでしょうか。もちろんガソリン代の値上げや次の車検のことも気になるでしょうが、それよりも何よりも「安全」でしょう。人を傷つけないこと、自らも家族も事故に巻き込まれないこと、これが第一だと思います。
交通法規を守ることだけでは安全は確保できません。周囲の状況をよく観察することで車や人の動きを予測し、その場に応じた安全運転ができるはずです。危機的な状況から脱出するには、危険な急ブレーキや、制限速度オーバも必要になるかもしれません。それは運転者が判断すべき事なのです。
筆者は、情報漏洩対策もこのアナロジーが使えると考えています。情報漏洩の原因となる周辺機器の使用禁止も、ある程度は必要でしょう。しかし大切なのは、ユーザが常に情報漏洩の危険性を「自ら考える」ことなのです。そして情報システム管理者は、彼らが「自ら考える」ことの手助けをすべきです。
そしてなるべく社内を歩いて、危険かも?と思われる機器を見つけたら、遠慮なくその危険性を指摘しましょう。デジカメやMP3プレーヤーなどは立派な外部記憶装置ですが、意外とユーザはそのことに気づいていません。危険を気づかせ、そして自ら考えてもらうこと。この努力を惜しんではいけない、と考えています。
パーソナルコンピュータとの付き合いは1979年のNEC社製PC-8001から始まっています。
1985年から当時はオフコンと呼ばれていたIBM社のシステム36を使って、機械製造メーカでの社内用生産管理システムの構築に関わりました。言語はRPGでした。
1990年ごろから社内にパソコン通信やLANを導入してきました。この頃からネットワーク上でのコミュニケーションに関わっており、1993年以降はインターネットとWindows NTによる社内業務システムの開発、運用を行ってきました。
1996年からはインターネット上でのコミュニティであるNT-Committee2に参加し、全国各地で勉強会を開催しています。
http://www.hidebohz.com/Meeting/
1997年からはIDGジャパンのWindows NT World誌に「システム管理者の眠れない夜」というコラムの連載を始めました。連載は既に7年目に突入し、誌名は「Windows Server World」に変わっていますが、読者の皆さんに支えられて今でも毎月、締め切りに追われる日々が続いています。
連載から生まれたメーリングリストもあります。ご参加はこちら。お気軽にどうぞ。
Copyright 2005 Hideki Yanagihara All Right Reserved
