クラウドツールの社内導入ルール・基準について
- クラウドツールの社内導入におけるルールや基準について知りたいです。
- 他社のルールやガイドラインを参考にしてクラウドツールの導入方法を検討したいです。
- 情報漏洩リスクや運用手間を考慮しながら、MDMの導入などでクラウドツールを制御する方法を知りたいです。
- ベストアンサー
クラウドツールの社内導入ルール・基準について
お世話になります。 クラウドのツールを、企業で導入する際のルールや選定基準などについて、教えてください。 当社は設立10年程度の教育系ベンチャーで、私は情報システム部門で社内SEを担当しています。 ここ最近、事業部門で様々なクラウドツール(今年情報漏洩が発覚したTrelloや、boxなど、、、) をどんどん勝手に入れてしまい、使い勝手がよいツールだと事業部門内でかなりスタンダードになってしまい、いきなり情シス部門に管理を任されるケースがあり困っております。 情報漏洩のリスクや運用面の手間等、いくつかの観点があるかと思いますが、こうしたことを防ぐために、 ・他社がどのようなルールを設けているか ・何か公的な、もしくは有効なガイドラインや導入の基準があれば知りたい ・MDM等を入れることにより制御できるのか 等々、有効な手立てがあればぜひアドバイスをいただけないでしょうか。 ちなみに、ADもMDMも未導入です。 必要な情報があれば加筆いたします。 どうぞよろしくお願いいたします。
- yy1192
- お礼率71% (185/258)
- セキュリティ対策
- 回答数2
- ありがとう数2
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
いわゆるシャドーIT問題には、許可のないクラウドサービスの利用も含まれます。 https://www.hammock.jp/assetview/media/what-is-shadow-it.html IPAが公開している「中小企業の情報セキュリティ対策ガイドライン」の中にある 「付録6: クラウドサービス安全利用の手引き」という章が参考になるでしょう。 https://www.ipa.go.jp/security/keihatsu/sme/guideline/ アプリを勝手にインストールされないようにするには、通常業務に使うユーザーを管理者権限のない標準ユーザーに変更しましょう。 管理者権限は情報システム部門の人間だけが、メンテナンス用に使うだけで十分です。 おそらく大反対されると思いますので、上長を巻き込んで社則に盛り込みながら進める必要があるでしょう。 Webブラウザ経由のクラウドサービスを制限するには、ルータやファイアウォールによる制御が必要になると思います。
その他の回答 (1)
- JP002086
- ベストアンサー率35% (1462/4170)
情シスに居た立場で、言いますね。 通常は、その様な事をここで聞くものではありません。 この様な相談にのってくれるコンサルタントを探して、一緒に改善を図る事です。 社内規定や個人情報の扱い等々も改変して(ドキュメント上)行かなければなりません。 それと、最低限必要な情報を収集する。 例えば、 JPRSのメールマガジン;ZD NETのメールマガジン;トレンドマイクロのメールマガジン;JIPDECのメールマガジン;ITmediaのメールマガジン等々(私が読んでいるメールマガジンの一部です) です。 既に、社内の各部門が了解;承認もなしに勝手に導入している事で、薄々気付いているかもしれませんが、システム的にはどの様にでも出来るのですが、それを壊してしまうのは「人」なのです。 この「人」の知識レベル;認識レベルを底上げしないと、システム的にどの様な手段・手法をとっても「知らなかった;想定していなかった;だから自分は悪くない。悪いのはお前だ」になります。 まず、最初に、あなたが遣らなければならないのは「人で苦労したコンサルタント」を探して、自分の味方に付けて一緒にコンプライアンス部分から考えてくれる方を探してください。 多分、契約金(1カ月の)って初任給の年俸が飛びます。 ご参考にどうぞ
お礼
ご回答ありがとうございました!人が大切ですね!!その通りだと思いました!!
関連するQ&A
- 情報セキュリティの社内基準が無い
今回入社したベンチャーの会社ですが、 情報セキュリティに関する、社内基準がありません。 例えば、 ・他社の人間が、社内にノートPCを持ち込む ・私物の外付けHDを社内に持ち込んで業務をする ・ノートPCを自宅に持ち帰って作業をする ・USBメモリが個人管理(社内に何本あるか、誰も把握していない) などが横行し、ルールとしてこれを制御することができていません。 これらを制御するルールを作成したいと思うのですが、 「ガイドライン」や「標準」となるドキュメントやサンプルなどは ネットで公開されていたりするものなのでしょうか?。 ※大変お恥ずかしいご相談ですが・・ そもそも経営陣がITに疎いうえ影響力が薄く、トップダウンで これらのリスクに取り組み、指示していくことが期待できません。 情シスで何らかのドラフトを作成してそれを提言し、 承認を取り付ければと考えています。
- ベストアンサー
- その他(ビジネス・キャリア)
- クラウドについて:メリットとデメリットは?
最近、クラウドという言葉がやたらと出ています。職場でも導入しようという 話が出ていますが、今一つピンときません。シンクライアントと同じ意味なの でしょうか。結局、情報漏えいを防ぐためのものなのでしょうか。少し不便な面 もあるような気がします。 メリットとデメリットを教えてください。
- ベストアンサー
- その他(インターネット・Webサービス)
- クラウドの監査について
クラウドはどこからでもアクセスできて便利なのは分かるのですが、どこからでもアクセスできるという事は、情報漏えいの可能性がある事とイコールです。 業務システムをクラウドに乗せた場合、そのリスクによって、アクセス管理・セキュリティ管理・履歴管理をしっかりしていかなければならないと思います。 Saasの代表的なメールやグループウェアなどリスクレベルが低いものに関しては、どのように捕らえれば良いのか良くわからなくなっています。 メールなどは大手企業でもWebメールを導入しており、社外から見えたりします。これはセキュリティ的に問題にならないんでしょうか?
- ベストアンサー
- その他(ITシステム運用・管理)
- 業務ルール・統制の不在
親会社から、今の子会社に出向しているのですが、 その無法ぶりに悩んでいます。 私はシステム関連で支援に入ったのですが、 特にIT関連の問題が特に目に付きます。 例えば、IT資産に関して方針や規則が無く、プログラムの得意な社員が 勝手にシステムを作り、それがその社員の部署の業務として稼動しています。 またその作った社員は、その後知らぬ存ぜぬ、で 「あとは情報システム部門(情シス)に管理は任せた」、と 相手に合意無く押し付ける、ということがまかり通っています。 ※プログラムの設計書は今も無く、情シスに引継ぎもされてません 情シスとしては一方的な話で、大抵揉め事となります。 (部長や役員も介入しようとしません・・・) 各社員のPCには、Officeの2003や2010やら色々なバージョンがあり、それぞれに マクロが含まれ展開されてしまっています。 日々「2010だと動かない」などのクレームも多いです。 こうした事を防ぐには、どういった点から考慮し、統制をしていくべきでしょうか?。 自分らが考えているのは、以下の点です。 ・先ずは各社員が(個人が勝手に作ったシステムを含む)使用しているプログラムをリスト化 ・情シスがどこまで保守をするか議論を持って線引き ・情シスを無視して勝手にシステムやプログラミングをしない、ルール作り など・・ かなり情けない状況で、私も始めての経験ケースなのですが、 「こうしてみてはどうか」、などご意見を頂けると助かります。
- ベストアンサー
- その他(ビジネス・キャリア)
- ERP導入にあたり必要な人数について
ERPを導入する計画があり、導入する側としてどのような人材を何人位確保しておくべきか調べております。導入経験者、あるいは参考書籍・サイトをご存知の方、情報を頂けたらと思います。よろしくお願いします。 ◆会社プロフィール 事業概要:ASP・ホスティングサービス、受託開発 従業員数:約200人 年 商:20億~40億 ※現在各部門で利用しているシステムを1年半後ぐらいを目処にERPに置き換えて統合することを計画しています。
- 締切済み
- 財務・会計・経理
- 情報漏洩対策におすすめのメールシステム
会社にて新たにメールシステムを導入しようと考えています。 今現在320人ほどの会社で、この度、経費削減と生産性アップの為、Google Appsの導入を検討しております。 しかし、クラウドサービスということで、社内の従業員のみならず、外注業者とも密に連絡を取り合っているため、セキュリティ対策、情報漏洩の問題を注意深く見ているところです。 会社の個人情報や機密情報、顧客情報など、大切な情報の漏洩による事故を一番危惧しておりますので、より安全で強固な情報セキュリティを探しています。 その為、Google Apps導入を進めるにあたっては、リスク回避の為に、メールなどの管理の中で、情報漏洩対策を十二分に留意し検討をしているところです。 情報漏洩対策におすすめのメールシステムはありますでしょうか? Google Appsの導入と先ほど申しましたが、何か他のメールシステム、情報漏洩対策に信頼性のあるものもあれば教えて頂きたいです。
- 締切済み
- 経営情報システム
- ウイルスバスタークラウド設定について
Windows8のPCにウイルスバスタークラウドを入れてるんですけど設定を完璧にしてウイルス等から守る場合※コンピューターの保護設定※のとこに入れるチェックウイルス/スパイウェア対策に全てチェックを入れ保護レベルを高にして予約スキャンにチェックも入れてweb脅威対策も高設定でtrendツール、ブラウザガードにもチェックを入れて迷惑メール対策も全てにチェックを入れる、ネットワーク対策もファイアウォールチューナー、無線ランアドバイザにもチェックを入れてメッセンジャー対策にもチェックを入れ、snsプロテクションの有効プライバシー設定チェッカーの有効、データを守るとこでは情報漏えい対策の有効リモートファイルロックの有効等を完璧にしてればウイルスには入られませんよね!!? ウイルスバスタークラウドのバージョンは7.0.1240です
- 締切済み
- ウィルス・マルウェア
- 会社のセキュリティシステムについて
こんにちわ。 現在、自社の情報漏えいなどのセキュリティシステムについて導入しようかどうか検討しています。 それについて、私は全くの素人ですので、 どなたか何を基準に決めたらいいかや、 どんな媒体(雑誌?ネット?)を見て検証すればよいのか、わからない状態です。 どなたか詳しい方がいれば、おすすめのソフトや情報など教えてください! よろしくお願いいたします。
- ベストアンサー
- ネットワーク
- 勘違い男への対処方法
私が勤める某コンピュータ会社に2人組の「情報漏洩男」たちがいます。過去に課長職についていたのですが、成果が出せずに解任された共通点を持っています。現在は別々のスタッフ部門の平社員になっています。しかし、経営管理部門や事業計画部門にいるので、自分は「選ばれし者」と真面目に思っているようで、上にはおべんちゃら、下には皮肉や嫌味というかなり性格が悪い人たちです。この人たちが現場で検討中の人事異動の情報や商品戦略の情報などをライバル会社やパートナー会社に情報漏洩しているようで、ジョイントスキームがやりづらい状況です。直接的な問題は起きていないせいか、現場部門トップは2人を甘やかして何もお咎めがありません。このような迷惑な人たちを大人しくさせる方法でいいアイデアはないでしょうか。 言葉足らずでニュアンスが伝わらないと存じますが、よろしくお願いします。
- 締切済み
- 恋愛相談
- 社内ネットワークの構成変更の管理
情報システム部門で働いております。 社内のネットワークの管理についてアドバイスを頂きたいです。 ユーザが勝手にLANケーブルの配線を変更してしまい、問題が発生することが多々あります。 先日もループが発生してしまいました。 再発防止の手段を検討しているのですが、予算が無いため運用でカバーしたいと考えています。 (ループを検知するスイッチなどを導入したいとは思うのですが。。) ネットワークの構成変更を行う場合には、どのような変更を行うかのかを事前に申告してもらい、 チェックした後に実際に変更してもらうようなフローの作成を考えています。 一般的に、このようなときにはどのような手続きをとるものなのでしょうか? 書類などで管理を行う場合はどのような項目を記載してもらうべきか教えていただきたいです。 またネットワークの構成を管理するツールなどがあればご教示いただけますでしょうか。 そもそもユーザに配線を触らせるなんてとんでもない、といった意見もあれば聞かせていただきたいです。よろしくお願いします。
- ベストアンサー
- ネットワーク
お礼
これこそ待っていた回答です!! IPAの指針もあり、とても分かりやすいです!! ベストアンサーにさせていただきます。 ありがとうございました!!!