このほかにも、VPN(Virtual Private Network)アクセスを撤廃してしまった企業や、Macintoshの持ち込みを禁止している企業など、何らかの禁止政策を遂行している企業は思いのほか多い。読者の中にも、身に覚えがある方がきっといるだろう。もちろん、ほとんどの方が「こんなことではいけない」と思っているに違いない。中には、もう少し時間をかけて予算を獲得し、情シスの技術的なスキルアップを図る中で、善処していこうと考えている人もいるだろう。
しかし、現在は数年前とはまるで状況が違う。昔は、コネクティビティとパフォーマンス維持のためにシステムの運用管理を行っていればよかった。だが、ネットワークの脅威が格段に増大した今、言うまでもなくシステム保全の要はコンプライアンスであり、それを実現するためのIT統制の方策こそが運用管理の肝だ。
やみくもにシステムを禁止するだけでは、何も問題は解決しない。しかも、問題を先送りにするといった生やさしい回避策にとどまるものではない。これまで述べてきたように、それはすぐに新たな脅威を生み出し、社内システムを危険な状態へと陥れる。まさに、深みに陥りがちな運用管理の「禁じ手」なのだ。しかも、現場の生産性を下げ、ビジネスそのものを停滞へと向かわせるだけでなく、現場からは情報システム部門への根深い不信感も生まれる。良いことはほとんどない。
例えば、最初に紹介した事例では、自社で共有サーバを管理できないなら、ファイル共有スペースをアウトソーシングして運用するといった解決策があり得る。データセンタにコロケーションしたり、レンタルサーバを利用したりするなど、現場のニーズに応える方策はいくらでもあるはずだ。
今、ネットワークの禁止政策を実行しているなら、再考を検討してはどうだろう。
まずは、禁止している事柄を今一度見直す。現場とのコミュニケーションを密にして、社内ITに対する要望や意見を真摯に聞き取り、現場とともに最良の解決策を見いだすべきだろう。同時に、社内ITのセキュリティリスクを洗い出し、禁止政策の代わりに現実的なセキュリティポリシーを策定する。IT資産は会社の資産であり、その保全のためにポリシーが必要であることを現場のユーザーに十分に理解してもらう。
社内ITの保全は、社員全員の協力なくしては達成しない。認証VLANや検疫ネットワークシステム、トラフィック監視システムなど、高価なセキュリティ製品を導入するほどの予算と体力がないのなら、なおさらだ。さらに、日ごろの激務で難しいだろうが、情報システム部門そのもののスキルアップや経営層へのプレゼンテーションも重要な要素だ。今や、ITなくして会社は成り立たない。ネガティブな禁止政策から攻めのIT戦略へのパラダイムシフトという道が大きく開かれているのだ。
Copyright © ITmedia, Inc. All Rights Reserved.