連載
» 2004年03月17日 00時00分 公開

にわか管理者奮闘記(4):反撃開始、まずは全社的ポリシーの導入から (3/3)

[根津研介, 園田道夫, 宮本久仁男,@IT]
前のページへ 1|2|3       

上司の巻き込みに成功! まずはポリシー作りから

 さて、資料と準備が整ったので、中村君は久保部長をつかまえて相談することにした。

中村君 「部長、実はいまの社内ネットワークは問題だらけで、早晩対策しないとまずいと思っています。おそらく社長にもご賛同いただけると思うのですが、社内のネットワーク資源の大きな浪費が見逃せないくらいになっています」

久保部長 「ん、そんなに浪費しているのか?」

中村君 「はい。社員の中には就業時間中にオークションサイトを見ている者もいるようですし、昼休みにもネットワークゲームをしたりしている者もいるようです」

久保部長 「そりゃ、けしからん。会社の資産を不正に使用するのは許せん。突き止めて徹底的にとっちめなさい!」

中村君 「(しめしめ。ノってきたぞ……)しかし、部長。当社には使用に関するルールやガイドラインがありません。雇用契約書にも使用を禁ずるなどの条文がありません。これでは譴責(けんせき)するにも理由がありません」

久保部長 「そうか。そりゃ困ったな。何か妙案はないのかね?」

中村君 「いい案があります。それからそのほかにも問題があります」

久保部長 「ほかにも問題があるのかね?」

中村君 「はい。部長もご存じのとおり、最近いろいろと企業の個人情報漏えいが問題になっていますが、当社においても潜在的なリスクがあります。これは、例えば地方自治体などでも問題になっていて、総務省からの通達があったものと同じようなものです」

久保部長 「それにも妙案があるのかね?」

中村君 「はい。両方を解決するいい案があります。これを社長の了解を取ってさえいただければ大幅なリスクの低減と業務の効率化、経費の削減ができるはずです」

 そういって、中村君は用意しておいた稟議提案書を久保部長に見せた。

久保部長 (ひととおり見て)「うむ。これはよい。よし、私に任せたまえ。それはそうとちょっと文書が社長にご覧になっていただくには問題があるな。こちらで直しておくからメールで元のドキュメントを渡しておいてくれ」

中村君 「分かりました。よろしくお願いします」

 中村君はほかにも用意していた数字と理論を久保部長に託した。久保部長はなぜか張り切って、すぐにでも社長にいろいろ吹き込んで稟議を通しそうな勢いだった。 もちろんこういうやり方も飲み会での入れ知恵だった。そして中村君は、例の「悪者」は久保部長にやってもらおうと思ってもいたのだ。悪者といっても、部長にとっても存在感を示すよいチャンスだろうし、これを自分の発案ということで社長に言上してくれればこちらにもそれほど罪悪感はない。

 翌日、朝の朝礼で社長からの直々の通達が出た。担当責任者は久保部長だ。

社長 「諸君も最近のニュースでP2Pでの逮捕者が出たり、個人情報の漏えい事件が起きたりしているのを知っていると思う。わが社でも、このような事故が起きないようにこのたび、発案者である久保部長を責任者としてPCやネットワークの使い方についてルールを決め、また記録を取ることとする」

中村君 「(やっぱり、こうなるわけだ)」(にやり)

社長 「ルールは、追って通達する。以上」

 あまりにも考えたとおりに事が運んだため、中村君は思わずゾクゾクしてきた。朝礼の後、中村君は久保部長に呼ばれた。

久保部長 (しゃちほこばって)「中村君。ルールの案はないかね」

中村君 (笑わないように精いっぱい取り繕いながら)「はい。腹案はあります」

久保部長 「では、私あてにメールで送ってくれたまえ」

 この件も勉強会の講師の人に教わった知恵の1つだ。それは、日本ネットワークセキュリティ協会のWebサイトにあるルール(ポリシー)のサンプルと解説を参考にするということである。中村君は、悪戦苦闘しながらもそのサンプルと解説を参考にし、インターネット利用ポリシーと利用者登録票、追加利用申請書、イントラネット機器接続ポリシーと機器接続申請書を急いで作成して、久保部長へメールした。こうして中村君は反撃を開始した。

【今回の教訓】

博士アイコン

1. 情報源は書籍やベンダ情報だけではない。積極的な情報収集と交流を心掛けよう

書籍やベンダ情報は有用な情報源の1つだが、実際にユーザーがどのようにその情報を活用しているのか、そしてどのような間違いが含まれているかを推し量るのが困難な場合がある。そんな時に役に立つのが、各種コミュニティや勉強会をはじめとする草の根的な活動の成果であり、経験者、有識者の一言である。ただし、そのような情報も100%正しいというわけではないので、さらに自己責任で判断したうえで利用する必要もある。

また、コミュニティは無償のサポート窓口ではないので、いきなり「教えろ」的な態度ではいけない。それが、たとえ独善的であるとしても「経験豊富な上級者」に教えを請うのだ。「教えていただく」という真摯(しんし)な態度が結局欲しい情報を入手する手段なのだ。長老と接するような気持ちで話を聞こう。

ホントに困ったときに必ず解決したい場合には、有償となってしまうが、事前にベンダやコンサルタントなどとのサポート契約を結んでおくといった手段もあるだろう。

なお、ベンダ主催セミナであっても無償、もしくは安価なもので有用なものは数多くある。例えば、マイクロソフトが提供するSECURE SYSTEM Training Tour 2004などは無償で行われるセミナーとしては本格的なセミナーであり、積極的に参加すべきだ(関連記事:反省が生んだMSの新セキュリティ戦略「多層的防御」とは)。

2. 稟議書は経営者の視点で作成するように

もちろん、システム管理やネットワーク管理を担当する人は、普通経営者やそういう経験はないことが多いだろう。しかし、書類を作成するときにはそういう視点での書類を作成するように心掛けたい。彼らが判断できる言葉と基準で作成するようにするのだ。作成するポイントを挙げると次のようになる。

  • できるだけ具体的な工数や金額などの数字(概算でもよい)で示す
  • 選択肢を2つとか3つ用意し、それぞれの場合の比較データを提示できればなおよい
  • 損害の例として、企業イメージや信用の失墜などが発生する可能性があるならば、例を挙げて言及するとよい
  • 時事的な損害事例、だれでも知っている企業での事例、官公庁の取り組み、競合他社での取り組みなどが分かる場合はこれを事例として挙げよう
  • 社会的に認知されている各種メディアの評論などで取り上げられたものがある場合はこれも挙げる


 次回予告:基本ルールはできた。これで、個別のことがらをツブして行くことができる。接続機器を認定したものに限定するため、ネットワークの調査も必要だから業務上最優先の事項になった。ようやく安心して眠れるようになった中村君だったが、安心するのはまだ早かった……。

※ご注意
本記事はフィクションであり、実在の人物・組織などとは一切関係ありません。


基礎解説記事

  • 5分で絶対に分かるシリーズ
  • 管理者のためのセキュリティ推進室
  • 情報セキュリティ運用の基礎知識
  • Security&Trustウォッチ

全記事一覧から各連載にアクセスできます。



前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。