ari's world

あるかどうかわからないけど、あるみたい。ありがとう。

いづれにせよ、会社の PC はなくなるのかもしれない

根本には「PC/パソコンの管理コスト増大」と「セキュリティの向上」という似たような出発点にあると思う。かつ、まったく逆の結論を示している記事を読んだ。ある程度の規模以上の企業についてであり、自営業やそれに限りなく近い中小規模については違うかもしれない。

さらばパソコン (日経コンピュータ2006年9月18日号)

http://itpro.nikkeibp.co.jp/article/NC/20060912/247844/

脱パソコンの動きは「シンクライアント」導入の形となって現実化しつつある。

「PC/パソコンの管理コスト増大」と「セキュリティの向上」の上で、シンクライアントを活用しようという話題だ。
コールセンターなどの決まっているアプリケーションのみ動かす部署については、こちらが有力である。セキュリティのために必要なことを制限する、という考え方だ。システムや監査などが提供したものだけで業務を行う。メールを制限してウェブアクセスを制限して、できることは「これだけ」。扱っているアプリケーションがある程度のプロテクトをするためリスクが増大することを防いでいる。
私のところではシンクライアントを検討したところ、導入コストがあまりに高すぎるため実施しなかった。しかし、資産管理ソフトウエアのオプションで内部ハードディスク以外の記憶媒体(フロッピー、USB ドライブ、CD/DVD ドライブなど)を無効にする方法である。さらにアプリケーションのインストールも管理者がリモートインストールのみが許されている。擬似的なシンクライアント状態を展開している。

真髄を語る「会社のPC」は無くなる

http://itpro.nikkeibp.co.jp/a/biz/shinzui/shinzui0823/shinzui_01_1.shtml

従業員所有PCとは、企業が従業員に一定金額を支給し、従業員が自分で選んだパソコンを購入し、保有するやり方。「自分のPC」なので、会社の仕事だけではなく、個人利用も許容される。

コントロールの強化は、私の主張の対極にあります。私が言っているのは、ITコンシューマライゼーションに対して、心を開き、それが不可避であることを理解し、それを考慮にいれてポリシーを作り上げるということです。従業員はポリシーを理解し、それに従った行動を自主的にとる。従業員をコントロールするのではありません。

このような考え方があることが目からうろこだった。今まで、自分の考えを表現できず、とても苦しい思いをしていた。しかし、このトピックは私の気持ちを代弁するものだった。

セキュリティと使い勝手

いろいろ話をする中でセキュリティを向上させることと制限するは同一であると考えている人が多い。しかし、大切なことを忘れている人が多い。大いなる目的はサービスを提供するのであって、使いにくくすることではない。サービスのひとつの要件として「セキュアである」ことが含まれているだけだと思う。

最良の方法は、従業員が必要としているものを企業が提供することです。

そう、本来であれば従業員の利便性を引き下げるべきではないのだ。セキュリティを向上させることを言い訳にして「仕方なく制限」しているのである。つまり、管理する情報システムのような部門にとって単に制限することは「技術的に負け」に等しい、と私は感じる。
たとえば、業務改善を検討するために新しいソフトウエアをインストールしたり、外部ディスクにアクセスする必要がある場合、役員承認を取る必要がある。ブラウザのプラグインもインストールすることができないため、標準のままでは QuickTimeFlash を見ることができない。 Gmail もアクセスできない(Plagger って何?(笑))。使い勝手を向上させるような試みすらをすべて止めてしまう。改善しようとする「気持ち」すら少なくなってしまう。
これでは会社の成長を止めてしまう。少なくとも成長の速度はゆっくりとしたものになることを強く危惧する。

ただし、依然として責任の範疇はを決定することは難しい。
「会社のPCをなくすための条件」404 Blog Not Found
http://blog.livedoor.jp/dankogai/archives/50613956.html

「会社をやめる時にPCの中身はどうすべきか」「事故が起こった場合、どこまでが会社の責任でどこまでが従業員の責任か」ということは残る。

ログ取得と危機管理

やり取りしているすべての コンピュータ、ネットワーク、ファイルやディレクトリ、データベース、ウェブ、メールなど考えうるすべてのログを取得している。ログを取得し、問題があった場合は証拠として提示できるレベルではある。
しかし、このログから個人の動向を予測し、アラートを上げるリーズナブルなソフトウエアは少ないように感じる。いくつも製品はあるようだけれど、いろいろな意味でリーズナブルではないようだ。
ログを解析したり、ある条件を満たしたらアラートをあげるソフトウエアはよくある。たとえば、個人情報に 1万回アクセスしたらアラートをあげる、というものだ。しかし、業務としてダイレクトメールを発信するためには、そのアクセスは正しい。つまり、そのアラートは意味を成さない。大切なのは、その人の動向をコンピュータが理解し、それを逸脱したときのみにアラートをあげる必要があるのではないか*1

成熟さと適材適所

身もふたもないけど、結局は適材適所ではある。研究開発などを主とする会社と、高校を卒業しただったり、リタイアした人をコールセンターで雇う会社では事情が違うはずだ。
成熟さやコンピュータリテラシの向上が望めないところ、および、定型のアプリケーションローダでは場所にはシンクライアントも検討の価値がある。セキュリティパッチや ソフトウエアのアップグレードを気にすることなくひとつの業務アプリを使用する。ただし、これはシンクライアントでなくても実施が可能である。コールセンターも日々の業務で改善する必要がある。リスク・コントロールのなかでトライ・アンド・エラーを行う必要があるのではないか。コールセンター以外のところは逆に技術的な制限をゆるくする代わりにペナルティを含む責任を増やすことをもう一度 検討してもいいのではないだろうか。

システム管理部門は、従業員のコンピュータの使用についてすべてを把握し、予測することは現実としては無理だと思う。1年後の PC の使用方法については自分自身ですら予測がつかない。それだからこそ、ひとりひとりがしっかりと成熟し法遵守を行うことが認められる。さらに付け加えると ただポリシーに従うことだけではだめだろう。ポリシーを理解したうえで、よりセキュアな行動を行う。完璧なポリシーなり法はありえないのだから、PDCAサイクルのように順次改善していく必要があるのではないだろうか。

いづれにせよ、会社の PC はなくなるのかもしれない、んですね。

*1:少し書いてみたいのだけれど……今後、このあたりがブレークするのではないだろうか