先日、NTT東日本とIPA(情報処理推進機構)が共同して「シン・テレワークシステム」を提供しているという話を記載しました。
本記事では、テレワーク環境を構築する上でPCの管理者権限を持たない従業員でも導入できるため、利用方針を明確にすべきという話を記載しました。
私の他にも本システムのセキュリティについて意識している方が多かったのか一般社団法人コンピュータソフトウェア協会セキュリティ委員会が本システムのセキュリティポリシー案を提示しております。
あくまでも本セキュリティポリシーはひな形であって、利用に際しては自社のセキュリティポリシーなどを考慮した上で、変更して使ってほしいということでPDFファイルだけでなく、Wordファイルでも提供されております。
こういったセキュリティポリシーの検討は、目次案を検討するだけでも慣れていないと難しいので、ひな形が提供されることは非常にありがたいですね。
ただ、自社の状況なども考慮した上で抜け漏れがないかを確認する必要はありますし、ポリシーを提示したからといってそれが守られるという保証もありませんので、物理的防御策は必要です。
また、シン・テレワークシステム自体の機能も追加されており認証機能の強化としてワンタイムパスワード機能が追加されております。
利用ユーザー数も増えている状況で、提供サイトでユーザー数の推移グラフの閲覧も可能となりました。
ただ、利用ユーザー数を示すのは実は得策ではないではないかと私は考えております。
利用ユーザー数がそれなりに多いという判断を悪意のある技術者が持った場合には、そこに対する攻撃が視野入るでしょう。
ソフトウェアが無償で手に入るのであれば、当該ソフトウェアの脆弱性を調査して攻撃をしかけることも可能となります。
私は、本システムの利用状況は攻撃者の興味の対象となる情報であると考えるため、セキュリティ対策としては情報公開は不要と考えます。
たぶん、提供者サイドとしてはそれなりの利用者がいるから本システムは利用しても安心だというメッセージなのかもしれませんが、あまり情報を出しすぎるのもセキュリティを意識するのであれば問題になるでしょう。
そして、前述のセキュリティポリシーには触れられていませんでしたが、私が当初から懸念している容易に本システムを利用できる環境にある(一般ユーザー権限でインストールできる)という点については本システムの提供ポリシーから変更されることはないでしょう。
FAQに一般ユーザー権限でインストールできることについての記載があります。
非常に便利なソフトウェアではありますが、企業として明確な指針がない状況で従業員に許可なく利用される状況は回避したいところでしょう。
大企業であればソフトウェア(IT)資産管理ツール(SKYSEA、LanScope、QNDなど)を利用して従業員の端末にインストールされているソフトウェアを一覧取得して許可していないソフトウェアがインストールされていないかを確認することもできるでしょう。
(ただし、シン・テレワークシステムがソフトウェア資産管理ツールで検知できるかは私は未検証です。Windowsのプログラム一覧に出てくれば検知可能と考えてよいでしょう。)
しかし、こういったソフトウェア資産管理ツールを導入できない企業であれば、システム管理者が従業員のPCを一台一台確認するという作業も必要になるかもしれません。
自社のシステム環境がどのようなものかで対応は変わるかと思います。
一台一台目視確認するのは作業負荷がそれなりにかかりますので、Windowsのコマンドプロンプトをつかってインストールされているソフトウェアの一覧を取得するバッチファイルを利用することが一番容易であると考えます。
最近は、OSやクラウドサービスのGUIが洗練されてきていますので、コマンドを知らない人も増えてきているかと思いますが、システム的に大量作業をこなすにはコマンドは今でも最適であると考えます。(最近だとRPAも視野に入りますかね。ただ、これもコストがかかるのでどこの企業でもできる策ではありません)
私自身は技術者ではないため、コマンドを駆使することはできませんがどのようなことができるかはなんとなく把握しているため、GUIでこなすのが大変そうな作業(大量同一処理)だなというときにはコマンドでできないかを考えるようにしています。
先日もファイルサーバの特定フォルダがなくなったと同僚が言うので、誰かが誤って触って移動してしまったのだと思い、コマンドでフォルダの一覧を作成して検索しました。
Windowsの検索も優秀になってきてはおりますが、まだまだほしい情報にたどり着くには時間がかかりますので、自己の経験や勘を働かせた方が早いと思うときにはコマンドを使った方がよいでしょう。
話が少しそれましたが、前述したコマンドによるソフトウェア一覧の取得においては、利用しているOSが32bitか64bitかで検索する箇所が変更になります。
ネットを検索すればプログラム一覧を取得するコマンドは容易にみつけられますので、興味のある方は検索してみてください。
自社の従業員の環境を確認したことがないのであれば、一度環境を把握する上でも実施した方が良いでしょう。
会社で許可していないソフトウェアがみつかるかもしれません。