スタッフブログ

これからのMSの話をしよう


MSといえば06が思い浮かぶ平井です。え?マイクロソフト…あぁ、まぁ、そうですよね。

それはそれとして、MSといえば、なんとかManagement Systemってのがありますよね。QMS(Quality Management System)とかEMS(Environmental Management System)とかPMS( Personal information protection Management Systems)とか。

そしてISMS(Information Security Management System)まぁ、これらはISOとかJISの規格なわけでして、弊社はこのうちISMSの認証を取得しております。

以前勤めていた会社ではあれやこれやに関わりまして、最初にやったのがQMS。
20年くらい前かな?なんか世の中にはそういうよくわからないものがあって、それを取得していないと入札できないとか業者指定から外されるとかなんとかで、そのうちやらざるを得ないだろうみたいな噂が流れてですね、で、その頃やり取りがあった欧州の関連会社がその認証を取得してるらしい、じゃぁ、そこからそれってどんなものか教えてもらいましょう、みたいなことになって、「QMS」って表題の本が送られてきたんですよね。

Document ControlであるとかQuality Logsであるとか、なんかよくわかんないけど、とにかく文書とか記録とか、いっぱい書かないとダメみたいな印象。
まぁ、いいですけど。書いても。作業手順書みたいなのでいいんですよね?で、それに従って行った結果を品質記録として書けばいいんですよね?
あー、でも、文書の配布管理とかめんどくさいなー。
なんちゃら文書第何版を何月何日どこの誰それさんに配布って文書管理台帳に記録しておいて、なんちゃら文書を改版したりすると、どこの誰それさんに改版した文書をまた配布しなきゃならなくて、旧版は確実に廃却してくださいとか依頼もしなきゃならないし。
文書が何種類もあって、配布先も何か所もあると、もうめんどくさくてしょうがない。
要するに、紙の文書を配るから、めんどくさいんだと。
どっかのサーバに文書のファイル置いといて、配布先にはそこを参照してもらえばいいじゃん?ってふつう考えますよね。
なので、わたしがいた部署では、SQLサーバーにIISで文書管理サーバーたてて、文書とか記録とかの類はみなそこにアップするようにして、Webで参照できるようにしたんですよ。

別に品質マネジメントシステムじゃ文書は紙じゃなきゃだめなんて規定してないからね!

ま、でも、審査受けたとき、審査員の人から文書管理台帳みせてくださいと言われたときに、文書一覧のWebページやらWordのドキュメントをプロジェクターに映して見せたときは、便利そうだけど見難いですね、みたいなこと言われたような気がする。うん、まぁ、そうなんだけどさ、うちらとしては、文書なんてどうせ見ないし。できるだけ手間をかけずに文書管理しています感を醸し出したいだけだったし。

環境マネジメントシステムのときはどうだったかな?えーと、あれは、工場の総務の人たちは苦労してるみたいだったけど、うちらは紙の消費量とかごみの分別とか排出量とか電気使用量とかを気にしてるだけでよかったような気がする。

個人情報マネジメントシステム。この認証受けると、Pマークを表示できるってやつ。会員登録するようなサイトだと、よく表示されていますよね。で、個人情報の管理というのは、面倒というより、神経使うって感じだったかしら。なんか、パラノイア的に。
どこにどのような個人情報がどれだけの量存在してるかみたいな台帳作って、それ毎にどんな管理をしなければならないかみたいなのを決めて、その通りに管理されているかってのを定期的に監査して、いや、こう書くと簡単そうだけど、あるお客様のお名前、住所なんかは、コールセンターであるとか修理センターであるとかDM発送センターであるとか販売サイトであるとか、まぁ、そのお客様を取り巻く様々なサービス提供部署において利用されるわけで、また、当然、取得した個人情報の利用目的にそこいらは明確に謳っているわけですが、まぁ、なんだ、お客様に印刷物を郵送するような業務の場合印刷物の冒頭に記載されたお客様のお名前と封筒に張り付ける宛名ラベルのお名前が一致していることが当然なわけだけども、これがずれたりすると、個人情報漏洩になっちゃうんだよ!どうすんのそれ?なわけだから、そのようなDM発送業務を委託している先においていかにそのような作業手順を管理していくか、ああ当然個人情報管理規定には業務を委託することがありますが委託先には弊社と同様の個人情報管理規定に従う旨云々ってそういうの委託契約に書いてたよね?書いてあるよね、よしこんどその委託先に監査にいくよ!え?そんな遠いとこなの?うーん、どうしよう…的な。

まぁ、それで、どのマネジメントシステムもそうなんですが、認証というお墨付きを維持するためには、毎年ちゃんとやってるか審査を受けなきゃならないんですよね。

で、ISMS。情報セキュリティマネジメントシステム。弊社のISMS認証の更新審査がもうじきありまして。
で、情報セキュリティ管理責任者って人が審査に向けてあれこれ準備を進めているわけでして。
で、弊社における情報セキュリティ管理責任者というのが、まぁ、わたしなわけでして。
いや、まぁ、なんとかマネジメントシステムのなんとか管理責任者はやったことあるけど、なんとかと情報セキュリティは同じってわけではないからなぁ。

さてさてISMSでは「~しなければならない」要求事項がたくさんあるわけで、まぁ、マネジメントシステムというのはそういうものですけど、具体的に「~しなければならない」ところをどうするか。
たとえば、定期的にパスワードを変更する。パスワードは何文字以上で英大文字小文字に数字を組み合わせなきゃだめよとか、ウィルスチェックは最新のパターンを使ってるよね定期的にスキャンしてるよねとか、WindowsUpdateは最新のものがあたってるよね当然だよねとか、まぁ、いろいろあって、それを皆がちゃんとやってるかを定期的にチェックしてその記録を残して…
やっぱめんどうじゃーん。

まぁ、PCはそうやって管理する、と。

じゃぁ、スマホどうなってるの?と。

スマホにOutlook入れてメール読み書きしてるよね?メールに添付されてきたパワポとかPowerPoint for iOSで開いてみてたりするよね?そういうのって、ちゃんと管理されてるんだっけ?まぁ、PCと同じように管理すればいいですよね。
パスワードは何文字以上で英大文字小文字に数字を組み合わせなきゃだめよとか、OSは最新のものがあたってるよね当然だよねとか、まぁ、いろいろあって、それを皆がちゃんとやってるかを定期的にチェックしてその記録を残して…
いやいや、スマホ紛失したりしたときどうすんの?業務関係のデータ入ってんじゃないの?パスワードロックしてあるから大丈夫?でもスマホに業務データ残ってたりしたらどうすんのそれ?

まぁ、やはり、クラウドであるとか、モバイルであるとかは、時と場所を選ばずにあれこれできるのがいいところなんですが、セキュリティをいかに担保するか、ですよね。そこいらちゃんとやっとかないと、お客様にご迷惑をおかけすることになりかねないし、ISMSの認証だって、通らないだろうし。

ということで、面倒であるとか心配であるところのリスクに対してどのような方策をとるか。まぁ、「管理策」はISMSの「附属書A」ってところにあれこれ書かれているんだけど、具体的な動きとして、これを組織にインプリメントしなきゃいけないわけで、その際にとる手段として、AzureADとかWindows10とかEMSなんかが、楽で安心なんですよ、管理する側としては。
いや、楽とかいうと、なんかさぼってる的印象を持たれるかもしれないですけど、人が色々と気を使ってあれこれ設定したり、その結果をチェックしたりするよりも、システム側が強制的に設定して、その結果を収集してくれる方が、確実じゃないですか。まぁ、その結果として、楽であると。管理する側としては。

弊社ではクライアントPCは全てWindows10 1703以上にして、AzureAD Joinしちゃえば、パスワードポリシーとか強制的に設定できちゃうし、WindowsUpdateやDefenderの状況もIntuneで見られちゃう。いちいち各自のPCの様子をチェックしなくてもおっけー。楽だー。確実だー。
スマホだって、個人のスマホを業務に使っていいの?的なことがあるじゃないですか。BYOD(Bling Your Own Device)ってやつ。
そういやオーストラリアじゃレストランにお酒持ち込みでBYOBだったような。
いや、そうじゃなくてBYOD。
やっぱり自分のスマホでメール受信したいですよね、スケジュール確認したいですよね、Skype会議にも参加したいし、Teamsだってメンションされたらすぐに見たいですよね。
でも、セキュリティ的にどうなのよ?ですよね。
そういうときは、EMS。いや、Expanded Memory Specification(なつかしー)とかじゃなくてEquipment Manufacturering Serviceでもなくて、Enterprise Mobility + Security。マイクロソフトの。
これってAzureやO365のセキュリティ機能をあれこれ詰め合わせてEMSって名前でパッケージにしたようなもんなんだけど、MDMとかMAMが便利で、スマホにパスワードとかのセキュリティポリシー配布できるし、Outlookなんかのデータだけを選択的にリモートで消去できるし、WordとかExcelのデータをスマホローカルに保存できないようにしたりできるの。スマホ上で開いたWordやExcelのデータは、OneDriveとかSharePointじゃないと保存できない、と。
まぁ、こうしておけば、万が一、スマホを紛失してしまっても、安心ですよね。管理する側としては。

そこいらは以前新宅がブログで書いてたので、ご参照いただければと。

Microsoft IntuneとWindows 10 Fall Creators Update

まぁ、そんな感じで、クラウドにモバイルな環境を便利にセキュアにお使いいただくためのあれやこれやを弊社では導入支援させていただいておりますので、セキュリティと利便性のはざまでお悩みでしたら、ぜひとも弊社にご相談いただければと存じます。

あー、なんか、今回は仕事っぽい内容でしたねー。
ではまた、お目にかかりましょう。