クラウド時代のための社内制度を考えてみた
2011年12月21日 10:46
以前から、会社への私的端末の持ち込み禁止とか、会社のノートパソコンを自宅に持ち帰るのが禁止とか、企業のセキュリティ対策として本当に意味あるのかなと懐疑的でした。
例えば、営業であちこちノートパソコン持っていくのに自宅には持って帰っちゃダメとか何かおかしいんですよね。
■守れないルールをつくるほど危険なことはない
以前、IPAの情報セキュリティポリシー サンプルを参考に「情報セキュリティ基本方針」、「情報セキュリティ方針」、「各種情報セキュリティ標準」を作成し、自社だけでなくクライアント企業でも運用しましたが、どこも実際は5〜7割くらいしか守れていませんでした。
クラウドサービスやスマートフォンが一般化した時代に、過去の感覚で作られたセキュリティポリシーを守るのはかなり無理があります。
そのため、クラウド時代に対応したセキュリティポリシーを作成して、守れなくても仕方ないという状況をゼロにしました。
私物の業務利用OKとか、個人アカウントの業務利用OKとか、他から「そんなルールで大丈夫か?」的な意見もありましたが、守れないルールをつくるよりはよほど安全だし、特にベンチャー企業の場合はビジネス効率が格段に高くなります。
大手企業でも、USBメモリでこっそり持ち帰り仕事というのは多いですし、私的端末の持ち込み禁止なのにスマートフォンは持ち込んでたりとか、実際にはセキュリティポリシーが守られていないことが多いです。
現実にそぐわない厳格すぎるルールは、ビジネスを停滞させるだけでなく、逆にリスク要因になります。経営者は適切に運用されていると思いながらも、実際の現場はそうではないという危険な状態に陥ってることがよくあります。
しかし、世間一般では私物を業務利用する企業はセキュリティ意識が低いとか言われるので、非現実的な守れないルールをそのままにしてきた企業も少なくありません。
その状況もようやく一変しそうです。
私物の業務利用、禁止・黙認から脱却する企業
http://itpro.nikkeibp.co.jp/article/COLUMN/20110830/367920/
誰もが知っている企業が次々と私物の業務利用を認めるようになってきました。
こうなってくると、もっと大々的に推進してもいいんじゃないかなと思い、今回さらにクラウド時代に合わせた社内制度を考えてみました。
○自宅用ノートパソコン貸与
当社では、自己学習と持ち帰り仕事のために利用できる自宅用ノートパソコンを希望者に貸与する。
○スマートフォン パケット代支給
当社が業務で利用するクラウドサービスをセキュアに利用できると当社が認めた以下の携帯端末については、別途定められた設定において個人契約端末の業務利用を認める。
また、この場合、当該端末の料金明細を書面またはPDFにて会社に提出することで、パケット料金のうち4,000円までを会社が経費として支給する。ただし、パケット料金を支給する端末は1台までとする。
・iOS4以降が導入されたiPhone(ただし、JailBreakされた端末は認めない) セキュアじゃないので
・Android2.3以降が導入されたAndroid携帯
○スマートフォン アプリ代支給
当社が業務で安全に活用できると認めるスマートフォンアプリについては、当社が定める情報セキュリティに関するルールにおいて個人所有アプリの業務システムへの接続を認める。
また、この場合、当該アプリの料金明細を書面またはPDFにて会社に提出することで、そのアプリの購入にかかった費用を会社が経費として支給する。
○推奨クラウドサービス代支給
当社が業務で安全に活用できると認める以下のクラウドサービスについては、当社が定める情報セキュリティに関するルールにおいて個人契約アカウントの業務利用を認める。
また、この場合、当該サービスの料金明細を書面またはPDFにて会社に提出することで、そのクラウドサービスにかかる費用を会社が経費として支給する。ただし、1クラウドサービスにつき1アカウントまでとする。
・SugarSync(年額5,250円まで。30GBプラン相当)
・Evernote(年額45ドルまで)
こんな制度ってどうでしょうかね?