本ウェブサイトでは、JavaScriptおよびスタイルシートを使用しております。
お客さまがご使用のブラウザではスタイルが未適応のため、本来とは異なった表示になっておりますが、情報は問題なくご利用いただけます。
[第3回]関係者の期待に応えよ(その2)
2010年1月19日
前回は、環境管理、経理機能、購買機能、契約機能、施設管理の5部門について、PC管理にそれぞれどのようなビジネス要件を持っていて、PC管理部門になにを期待しているか、そしてPC管理部門はその期待に応えるために何をすべきか解説しました。
今回は、次の5部門について、解説します。
※PCライフサイクルマネジメントは「IT資産管理」とも呼ばれますが、本コラムでは「PCライフサイクルマネジメント」で統一します。
ここでは、WAN、LANなどのIPネットワークに加えて、認証基盤やその他共通システムインフラを維持管理する機能をひとくくりにネットワーク管理部門として整理します。
これに異論があることは承知ですが、PC管理部門との関係性において、その要求事項には共通点が多いので、本コラムではひとまとめで扱うことにします。
ネットワーク管理部門のビジネス要件は、可用性の担保です。
ネットワークや認証基盤、共通アプリケーションなどは、社内ユーザーから、いつでも使えて“当たり前”と思われています。
そのため、ネットワーク管理部門は、ネットワーク機器やシステムの可用性確保、各種設定情報の完全性の保証、変更に対する柔軟性の確保などを意識しています。
このため、ネットワーク管理部門は、PC管理部門に対して、適切なパラメータ設定やネットワーク側に適合したインターフェースの実装を期待しています。
よって、PC管理部門は、ネットワーク側のインターフェース要求を理解し、これに適合する仕様を決定し、PCに実装させる必要があります。
具体的には次のことが考えられます。
これらを、どこに設置するか、誰が利用するかなどに応じて適切に仕様を決定できるよう図るということです。
これらを実現するために必要になる管理は、ハードウェア構成管理、変更管理です。
セキュリティ管理部門のビジネス要件は、適切なセキュリティの確保です。
一般にセキュリティというと機密性・完全性・可用性をいうことが多いですが、ここでは機密性に係るセキュリティを中心に見ていきます。
セキュリティ管理部門は、セキュリティ事故の予防を行いたい、また、万が一それが起こってしまった場合、これを迅速に発見し、被害を最小限に食い止めたいと考えています。
このためセキュリティ管理部門は、PC管理部門に対して、想定するリスクに対応した適切な予防対策と危険な事象を発見する対策が、漏れなく実装されることを期待しています。
よって、PC管理部門は、セキュリティ管理部門が懸念するリスクに応じたセキュリティ対策製品を選定実装し、かつ、適切に維持管理が行われるよう統制する必要があります。
具体的には次のことが考えられます。
これらを実現するために必要になる管理は、ソフトウェア構成管理、変更管理です。
PCに関するセキュリティ対策製品は、世の中にたくさんあります。どこまでのセキュリティ対策を施せばよいのでしょうか。
予算が許す限り厳重なセキュリティ対策を行う、同業他社並みにしておく、リスクが顕在化しない限り対策しない、など考え方はいろいろあるかと思います。
この問いに正解はなく、セキュリティ管理部門(可能であれば経営者)が、リスク分析を行った結果、そのリスクが顕在化する可能性の高さ、顕在化した場合のインパクト、対策の投資コスト、社内ユーザー側の利便性の低減度合いなどから総合的に判断すべきものであると私は考えています。
ただし、今までの経験に照らしていえば、Windowsのセキュリティパッチ適用とコンピュータウィルス対策は、必須と言えます。
アプリケーション管理部門のビジネス要件は、業務アプリケーションが仕様通りに動作することの保証です。
アプリケーション管理部門というと解釈がいろいろありますが、ここでは内製・外製・パッケージソフトウェアを問わず、社内ユーザーが業務を行うために必要な業務アプリケーションを調達・保守している機能部門くらいにご理解ください。
アプリケーション管理部門は、社内ユーザーの業務が円滑に行えるよう適切な業務アプリケーションを設計または調達します。
そしてそれらの業務アプリケーションには、その動作環境に必要な条件があります。
このため、アプリケーション管理部門は、PC管理部門に対して、これら動作環境の条件を満たす基盤としてのPCを適時に調達することを期待しています。
よって、PC管理部門は、アプリケーション側の要求を理解し、これに適合する仕様を決定し、PCを調達(または適時の更新)する必要があります。
条件として代表的なものは、CPU性能、ディスク空き容量、メモリ実装量、指定ミドルウェア(バージョン指定も)、指定OSなどです。
また、業務アプリケーションの作り方によって、Windowsのセキュリティパッチ適用時に適切な動作を行わなくなることがまれにあります。
Windowsのセキュリティパッチ適用などアプリケーションの動作環境に変更を加える場合、PC管理部門は、アプリケーション管理部門と協調して取組むことが望まれます。
これらを実現するために必要になる管理は、性能キャパシティ管理、ハードウェア構成管理、ソフトウェア構成管理、変更管理です。
ただし、上記は昨今のWeb化、クラウド化の流れの中で、過去のものになりつつあります。
社内ユーザー部門のビジネス要件は、業務の円滑な遂行です。
PCは業務の道具にすぎません。このため、社内ユーザーは、PC管理部門に対して、使いやすく、壊れにくいPCの提供を期待しています。
また、PCを一斉に交換していない場合は、他人が自分より性能の良いPCを使っていると早く自分のPCを交換してほしいと期待しています。
よって、PC管理部門は、社内ユーザーの業務遂行に必要な要件を見極め、社内ユーザーの不満が、単なるわがままなのか本当に業務遂行に支障をきたしているのかを把握して、調達計画を立案する必要があります。
これらを実現するために必要になる管理は、性能キャパシティ管理、構成管理です。
PCの交換は、どれくらいの頻度で行うのが適切でしょうか?2~3年で変えて業務効率低下を防ぐ、標準的なリースの4年で変える、壊れるまで使ってコストを低減する、など考え方はいろいろあるかと思います。
これも正解はないのですが、社内ユーザーが不満足にならない程度の性能は保証すべきであると私は考えています。
社内ユーザーが性能に不満を持っている場合、必要なセキュリティ設定を回避してCPU負荷を下げる、会社ルールを無視して個人PCの持ち込む、勝手に個別調達を行うなどのルールを無視する輩が出てきます。
すると統制が無効化し、セキュリティリスクが増大する恐れがあります。
ただし、社内ユーザーの満足ばかりを追求するとこれはこれでコストの増大を招きますので、バランス感覚が必要です。
経営者のビジネス要件は、PCに関するコスト・リスク・投資効果・コンプライアンスなどの説明責任を果すことです。
PCは1台あたりの単価は安いですが、数があるためそれなりの投資コストがかかります。また、その維持管理は複雑で関係部門も多く意外に運用コストもかかります。また、PCはセキュリティリスクの非常に高い機器です。しかもそれらは、システム部門の目の届かない社内ユーザーの手元にあります。
このため、経営者は、PC管理部門に対して、費用対効果、セキュリティリスクの低減度合い、コンプライアンス遵守の状況などを報告することを期待しています。
よって、PC管理部門は、これらの期待に応えるだけのデータの入手とレポートの作成、問題があった場合の是正措置活動を行う必要があります。
具体的には次のことが考えられます。
これらについてモニタリングや是正措置を行い、レポートできるように図ることが必要になります。
これらを実現するために必要になる管理は、モニタリング(定期的な業務の見直し含む)です。
ただし、モニタリングの実施には、これまで述べてきたすべての管理が前提になることは言うまでもありません。
また、モニタリングを可能とするための指標の決定やその指標を計測するための業務デザインも必要です。
今回は、PCライフサイクルマネジメントに係る関係者の期待と、それに応えるためにPC管理部門は何をすべきかについて、前回からの残りの部分について整理してみました。
次回は、モニタリングについてくわしくみていきます。
NECネクサソリューションズ
シニアコンサルタント 佐藤 裕宣
[CISA公認情報システム監査人,ITコーディネータ,情報セキュリティアドミニストレータ,上級システムアドミニストレータ]
