連載
» 2004年03月17日 00時00分 公開

にわか管理者奮闘記(4):反撃開始、まずは全社的ポリシーの導入から (1/3)

[根津研介, 園田道夫, 宮本久仁男,@IT]

前回までの中村君

  • トラブルが多いメールサーバの調査
  • 著作権違反のファイルの収集をやめさせる
  • メールサーバの正常化

セキュリティ関連情報の収集方法!?

 届かないメールや、怪しいファイル収集疑惑、わがまま勝手な無線LAN設置、そして絶え間なく続く大小のトラブル……。正直、ここのところ中村君はさすがに切れかかっていた。毎朝、会社に行くのがつらい。「探さないでください」と書き置きをして失そうできたら……などと非建設的な想像をめぐらせている自分にふと気付くありさまだ。調べなければならないことは一向に減らず、焦る気持ちばかりが空回りしている。このままではいけない。間違いなく日々のトラブルに追われるループに入ってしまっているようだ。抜本的に何かを変えなければこのループから抜け出せないと思いつつも、何をどうしたらいいのか分からないまま日時だけが矢のように過ぎていった。

 そんな中、「1月10日 第24回 セキュリティ勉強会開催のお知らせ」というタイトルが中村君の目に止まった。

中村君 「勉強会? 何だそれ?」

 それは、各所のWebサイトで「システム管理者のセキュリティ関連情報のサイトとして最適」と紹介されている「セキュリティホールmemo」のサイトに掲載されていたのだが、「勉強会」という不思議な響きに中村君は引かれた。なぜ、「セミナー」という名前でなく、「勉強会」なんだろうということに中村君は引かれるものがあったのだ。その内容を見てみると、「システム管理の勘所」という題材で、どこかのベンダが行っているのではなく、ボランティアベースの組織が主催しているようだ。しかも、開催に関して「勉強会の後の飲み会もあります。参加費は実費です。お気軽にご参加ください」とも書かれている。

中村君 「勉強会かぁ……。こういうのに参加すると、何か突破口が開けるのかなぁ」

 ちょっとハードルが高いかなぁ、と躊躇(ちゅうちょ)しつつも、どうにもならない現状にわらにもすがる気持ちだった中村君は、思い切ってこの勉強会に参加を申し込んだ(ついでに飲み会にも申し込んだ)。

 勉強会はとてもためになることが多かった。テーマは折しもシステム管理に関するものだったこともあって、次から次に引用される具体例は、中村君が常日ごろ、疑問に思っているようなことや、恥ずかしくて人にいえないような自社の内情によく似たものばかりだった。

 そして、中村君が最も感銘を受けたのは、書籍を読んでもいま1つピンとこなかったり、著名なWebサイトでもあいまいな書き方しかされていないようなことについて、明確な答えが返ってきたことだ。例えば「無線LANって安全なの? 勝手に設置させて使わせてもよいものなの?」という点についても、明快に「少なくとも企業では、リスクを認識したうえで適切な運用するのでないなら使うべきではない」「もし使うとしても無線LANはあくまでもセキュリティレベルが弱いインターネットと同程度のセキュリティレベルしか維持できないと割り切って、社内ネットワークとできるだけ分離するなどの対策をすべき」などといい切っていたこと。

 また、ほかにも「システム管理、セキュリティ管理など、およそ管理と名が付くものは、いかに利用者を行儀よくさせるか、という人の管理面も重要である」とか、「利用者の敵になってはいけない。同情を買って、味方に付けよう」「利用者に、常に監視されていることを意識させよう。人は、監視されていると思うと行儀よく行動するものだ」などなど、中村君は語録みたいに手帳にメモを取った。

中村君 「きっと豊富な経験に裏打ちされた言葉なんだろうなぁ。1つ1つの説明の重みが違うもの……」

 また、積極的に参加することも重要なんだということも実感した。それは、勉強会で質問をした人で自分と似たような境遇の人がいて、みんなの前で堂々と質問して、その回答を得ていたからだ。

質問者A氏 「私の会社はシステム管理が全然なってなくって、それぞれの社員が好き勝手に無線LANを設置したりしており、お恥ずかしい限りなのですが、そういう場合、どこから管理を始めればよいのでしょうか?」

講師 「まず、最初に会社として“やってもよい”ことと、“やってはいけない”ことをある程度明確にすることから始めるとよいでしょう。少なくとも、“これだけはやってもよい”ということを明文化することと、それ以外のものはすべて書面で社内の正式なルートの承認を受けた、正当な理由と許可が必要だと宣言できるようにすることが必要です。こういうのを難しくいうと『ポリシー(セキュリティポリシー)』というのですが要はそれだけのことで、これを運用ポリシーや利用ポリシーとして決めることが第一歩になります。ただ、いままで野放図な運用をしていた場合、利用環境が厳しくなるわけで、窮屈に思う利用者も相当数いると思いますので、全社的な取り組みとして経営者など決定権のある立場の人の応援(全面的なバックアップ)が必要になる場合が多いでしょう」

中村君 (心の中で)「なるほどなぁ。でも、ほかの人ににらまれたら怖いよなぁ」

 いろんな意味で中村君にとっては収穫の多い勉強会参加だった。しかし、本当に収穫だったのは実はその後の飲み会だったのだ。 中村君が見回すと、先ほど質問していた人がいたので、勇気を振り絞って話し掛けたのだ。

中村君 「実は私の会社もあなたのところと似ていて、日々七転八倒していますので、とても共感できました」

質問者A氏 「あなたもなんですか。なんか、つい、『探さないでください』とか書き残してこのまま失そうしたいと思ったことありません?」(笑)

中村君 「あります。あります」(笑)

 話は一気に盛り上がり、その輪に先ほどの講師やほかの人たちが交ざってきた。

中村君 「皆さん経験豊富で積極的な方が多いですよね」

講師 「そうですねえ。でもその経験を繰り返さなくても共有できるというのもこういうコミュニティのよいところですし、分かり合える共通の経験もあるからではないでしょうか」

 講師の人のいかにも人当たりのよさそうな風情に、中村君はつい自分の会社がいかにいいかげんか、ということを相談し始めていた。具体的なことまではあまりいえないとさすがにブレーキをかけて話したが、みんなは裏の事情まで察してしまったようだ。

講師 「あくまでも一般論でしかいえませんが、エライ人は何とはなしに問題意識を持っているようには見えますね。でも、それは見えるだけで、何か世間が騒がしいからウチでもやらないとマズイんじゃないか? とか、会社の資産を勝手に使うなんてけしからんとか、会社の就業時間中に遊ぶなどけしからんとか、動機はきっとその辺りにあるかなと思えますね。よくある話ですが……」(苦笑)

中村君 「そうですね。多分そんな感じがします」

講師 「でもそれは、上手に利用すればよいのですよ。経営者が問題視しそうな論点での稟議書を作って、解決策として『○×社社内基本運用ルール』を提案するんです。それから、勉強会で触れた“正式なルート”ですが、エライ人を経由して自分に返ってくるルートにしてだれの許可が必要なのか申請する人が分かるようにするんです。つまり、回覧板のように書類の頭に付けておくわけです。コツは、自分はあくまでもぺーぺーでエライ人が“駄目”というから仕方なくやっているんだという立場になることです。エライ人に悪者になってもらえば仕事がやりやすいからです」

 一瞬、講師の顔にいたずらっぽい笑みが浮かんだような気がした。

中村君 「悪者ですか?」

講師 「例えばファイル交換みたいなことをやめさせたいときは、『すいません、わたしは個人的には法律に触れない限り多少は構わないんじゃないかと思っているんですが、どうしてもエライ人が会社資源を無駄に使うなと怒っていてやめさせろっていって聞かないんですよ』という立場を貫くんです。エライ人に悪者になってもらうことを承知してもらっていると一番よいのですが、とてもそんなことをいえない雰囲気ならば、こっそり情報操作しちゃう手もありますね」

中村君 「情報操作ですかー(難しそうだなぁ)」

講師 「といってもそんなに難しいことではありません。一般社員があまり親しくなく、いかにも管理者然としていそうな人、しゃくし定規にしか考えない頑固な人といった、いわゆるうるさ型の経営サイドの人が音頭を取るようにし向ければいいんですよ。『この人の許可をわざわざ取るくらいならあきらめた方がいい』と思わせるような人がいればベストです。あとはちょっと背中を押すだけで、自然とこちらが期待するような構図になりますよ」

 周りの人たちがウンウンとうなずいている。どう見ても悪巧みをしている一団という風情だ。周りのみんながどんどん悪人に見えてくるようだった……。

 しかし、とにもかくにも明日からでもできそうなほど実際的だ。いきなりネットワーク管理担当者をしなさい、といわれて以来初めて、中村君は明日が待ち遠しくなった。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。