企業の根幹を支えている「情報システム部門」。社内のインフラ整備を始め、トラブル対応や日々のメンテナンスなど、業務は広範囲に及ぶ。何か不具合が発生した時は、情シスに聞けばなんとかしてくれるだろう!という軽い気持ちで、情シスに問い合わせたことがある方も多いのではないだろうか。しかし世間の「情シス」が置かれている環境は企業ごとに異なり、よっぽどの大企業でなければ、他部門との兼務やひとり情シスは当たり前、膨大な業務に対し十分なリソースが配分されていない企業が多いのが現状である。

そこで今回は、ある製造業の「情シス」に焦点を当て、情シスが抱える課題やその解決策について紹介したい。

自社ツールやExcelの管理台帳では追いつかないPC管理

日本国内を始め、海外にも進出しているプラスチック製品製造業K社。同社の情報システムを管理しているのは、同社の経営戦略部と兼務で担当している3名の社員だ。当初自社開発ツールやExcelでの管理台帳を使ってPCの棚卸しを行っていたが、ここ数年で拠点数は増加し社員は倍増、海外進出までと、今までの自社ツールで対応できない環境に変化していた。本社の端末のみであれば、既存の自社ツールの運用でなんとか回りそうだったが、拠点展開したことによって、社内ネットワークに接続されていない端末の利用が増加し、利用状況が把握できなくなっていった。

人的リソース不足により、遠隔地の拠点の管理まで手が回らない

拠点が増えたことにより、その拠点で必要となるアプリケーションや社員が使うPCは、現地でその都度調達していた。そのため、拠点を含めた自社全体で一体何台のPCを使っていて、どんなアプリケーションが入っているのかなど端末の情報は把握できていなかった。さすがにこの運用状態はマズイ…と情シス担当は思い、自社ツールを拠点の社員にも展開し使わせようとも考えたが、そのためのサーバー管理や、教育といった面で拠点社員にも負荷がかかるため断念。また、使用しているPCにトラブルが起きた場合は、毎回情シス担当が現地に出向くわけにもいかず、電話での対応が主となっていた。拠点が増える度、遠隔地の拠点に対するサポート対応も課題の1つとして上がっていたため、どうにか効率的に拠点端末の管理を実現する必要があった。

各拠点の利用実態が不明なため、セキュリティレベルにもばらつきがある

各拠点が調達したPCはメーカーやスペック等はバラバラ。最低限拠点でPCを購入した場合は、メーカーやスペック、利用者を情シスに報告することをルールとしていたが、報告忘れや、内容に誤りがあった等、ヒューマンエラーはつきものだった。また、最低限業務で使うグループウェアはクラウドのものを全拠点共通で利用していたが、その他業務で使うアプリケーションに関しては、各自必要に応じてインストールしていた。そのため、本来であれば業務に関係のないアプリケーションも拠点では簡単にインストールできてしまう。さらに忙しいからという理由でアプリケーションのアップデート作業を怠ってしまう社員がほとんどだ。アップデートせず、古いバージョンを使い続けることによって、脆弱性を狙った標的型攻撃を受けやすくなる可能性もあり非常に危険な状態だ。また、海外拠点に関しては、アンチウイルス製品や各種アプリケーションは、日本国内とは異なる製品も数多く利用されているケースも考えられる。海外拠点は完全に独立している状態にあり、国内の情シス担当者が関与できるような状態ではなかった。

関連会社が内部不正で情報流出。監査が入りセキュリティ強化が急務に

また最近K社の関連会社が内部不正による情報流出事件を起こしたこともあり、K社にも外部監査が入ったという。その際にセキュリティ対策の強化が求められたが、そもそもPCの管理自体ままならない状況になっていたK社の情シス部門は、限られたリソースで何から手を付ければ良いのか分からず途方に暮れていた。

関連会社の情報流出は、退職間近の社員が顧客情報にアクセスし、外部メディアを使って外にデータを持出したようだ。この事件を受け、本社のみならず拠点を含めた全社のPC操作状況を調べる術としてログの管理が必須となっていた。また、同社の営業が社外へ持出して利用しているPCの紛失・盗難対策についても管理方法を改めるようにとの通告もあったという。もし外出時にPCをどこかに置き忘れてしまい、悪意のある第三者に拾得されてしまったら、企業の経営損失は計り知れない。