« 脆弱性パッチやソフトのアップデート管理をどうするか | トップページ | プリンタ専用機と複合機について »

パソコンに対する権限を制限する事について

実際のところ、これから社内ヘルプデスクを作ろうとされている組織で一番多い状態は、「オールアドミン」ではないでしょうか。全ての利用者がAdministrator(管理者)権限を有している状態で、言ってみれば何でもありの状態です。これは、社内ヘルプデスクとしては一番避けたのですが、一度その状態にしてしまう(なってしまっている)と、後から制限をかける事は非常に難しくなります。「何故今まで出来ていた事ができなくなるんだ?」という声が必ず出るからです。便利と管理は相反する要求ですからね。

パソコンは使い方を誤るととても危険な道具です。利用者が意図している、していないに関係なく、悪意を持ったプログラムが動作してしまう事により、とんでもない状況が発生してしまうなんて事はよくある事です。もし、利用者のスキルが高く、また、モラルも高い職場であれば、オールアドミンの方が業務を効率良く行う事が出来るでしょう。しかし、少しでもそうではない可能性が考えられるのであれば、社内ヘルプデスクとしては権限を一定レベルで制限する事を考えるべきです。

●ソフトウエアインストールを制限する
仕事場のパソコンに利用者自身が勝手にソフトウエアをインストールするという状況は、出来れば避けたいところです。何故なら、「ライセンス管理」「パソコンのコンディション維持」「悪意を持ったソフトウエア混入の防止」という側面での危険が伴うためです。そのため、一般の利用者はソフトウエアのインストールが出来ないよう制限してしまうのが良いでしょう。しかし、そうしてしまうと、「業務で必要だ」という理由であってもソフトウエアをインストールする事が出来なってしまいます。そのため、制限を掛ける際には、一定のルール制定と権限委譲が必要になります。規模が小さければ、社内ヘルプデスクが都度ソフトウエアのインストール対応を行っても良いでしょうし、そうでなければ、各部署の代表者に管理者権限を与えるという方法もあるでしょう。社内ヘルプデスクとしては、「不正なライセンスではなく」「パソコンのコンディションを悪くせず」「悪意を持ったソフトウエアではない」ものであり、それが業務効率を向上させ会社の利益に貢献するのであれば、それを断る理由はない、という発想で対応に挑むと良いでしょう。

●ネットワーク設定を制限する
会社のネットワークは厳格に管理する必要があります。ネットワーク利用のポリシーや具体的な接続ルールは専門家であるネットワーク管理者が制定し、社内ヘルプデスクはそれに準拠するというやり方が理想です。そのため、パソコンの利用者はネットワーク設定を変更できないようにするのが良いでしょう。ネットワークへの接続については、Macアドレスによる制限や、色々な認証技術が存在しているため、それらとパソコンの設定を組み合わせて使うのが良いでしょう。

●ファイルのアクセスを制限する
「マイドキュメント」フォルダへのアクセスは、各ユーザのみが行える様に制限するのが良いでしょう。会社の情報は隠す必要がない、という発想もあるにはある(私も実はその発想が色濃い部分があるのですが)のですが、やはり、組織となると色々な情報があるため、「ここに置けば他の人からは見れない」という場所を確保しておく事が大切です。そしてその場所については、社内ヘルプデスクであっても容易にアクセスする事が出来なくしておく事も、無用な誤解を招かないようにするためには必要になるでしょう。

少しだけ書いてみましたが、最初に書いたとおり、後から制限をかける事は非常に難しいです。そのため、何らかの機会(たとえば、OSを入れ替えるとか、パソコンを入れ替えるとか。)をうまく利用して制限をかけると共に、制限をかけなければならない理由を全社的な合意にしてしまうような動きも出来ればなお良いでしょう。そのあたりの動き方については、セキュリティやリスク管理という話になりますので、また別の機会に紹介したいと思います。

次回は少し気持ちを切り替えて、プリンタと複合機について書いてみたいと思います。よろしくお願いします。

|

« 脆弱性パッチやソフトのアップデート管理をどうするか | トップページ | プリンタ専用機と複合機について »

ソフトウエア」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック


この記事へのトラックバック一覧です: パソコンに対する権限を制限する事について:

« 脆弱性パッチやソフトのアップデート管理をどうするか | トップページ | プリンタ専用機と複合機について »