中小企業でPCの管理規定を定めているという会社さん手を挙げて!
私の勝手な推測ですがそう多くはないと思います!
というのも人手が足りないのでそんなものを作っている暇がないし、
とりあえず人が増えるのに合わせてその場しのぎ的に機種を購入することが多いですよね。
そして、社内のシステム部など存在しないわけだから管理する人もいません。
それは仕方がないのですが、最低限守るべきセキュリティーというのはあります。
IPAからは「中小企業の情報セキュリティ対策ガイドライン」が出されていて、
これがとっても良くできています。
この中でも情報セキュリティ5か条は必ず守りたいものです。
実際、意外とすべて守っていると胸を張れる人は多くないと思います。
バージョンアップに関しては再起動が必要なため通知を無視している人も多いと思いますし、
パスワードを掛けていないPCもたくさん見かけます。
セットアップはインターネットに接続させずに行う!
さて、大企業のようなシスアド体制が整っている企業なら色々とやりようがあるのですが、
中小企業であればPCを購入したらそのまま従業員に投げてしまうことも少なくないと思います。
でも、ちょっとまって!
それはかなり危ないやり方です。
ここで従業員個人のWindowsアカウントで初期セットアップをするとどうなるか・・・
個人のMicrosoftアカウントを通して(拒否しない限り)データがクラウドに情報が保存されるので、
会社の営業秘密や個人情報等もいつの間にか個人のクラウドに保存されてしまう可能性があります。
ここで、昔からPCを使ってきた方は驚かれるかもしれませんが、
Windows10からは、初期設定でも「Microsoftアカウント」を使います。
普通に初期設定を勧めていくとMicrosoftアカウントがないと設定ができないようになっているのです。
以前のWindowsはセットアップの際はあくまでローカルでユーザー名を入力していたのですが、
Windows10からは強制的にMicrosoftアカウントをつかったセットアップが求められています。
しかし、実はローカルアカウントでセットアップするための方法があります。
Windows10のセットアップ時にMicrosoftアカウント入力する前、
インターネットに接続するプロセスがありますよね?ここをスキップすることです。
ここでWiFiの設定などをしてインターネットに接続してしまうと強制的にMicrosoftアカウントで、
初期設定を実行するように推奨されてしまうという仕組みになっています。
初期設定ではインターネットに接続せずに次へ進み、ローカルのユーザー名を作成するのが正解です。
この理由は先程申し上げた従業員の個人アカウントからクラウドに情報が漏れてしまうということに加えて、
色々と他にも面倒なことが起こるからです。
最初にログインしたユーザーで作られるフォルダ名の変更は一苦労
面倒といっても具体的にどのようなことが起こるのでしょう。
普通にPCの初期設定なんて誰でもできそうな気がしますよね。
よくわからず購入したらすぐに電源を付けてしまうだろうし、
指示通りにインターネットに接続してしまうだろうし、
適当なWindowsアカウントでセットアップしてもなんにも問題ない。確かにPC自体は問題なく動きます。
でも、適当に初期セットアップをしてしまうと微妙です。
ユーザーアカウントの名前の問題があるのです。
ユーザーアカウント名は追加すれば変更できるのですが、
初期セットアップの際に設定した人の名前のユーザーフォルダ名は基本的には変えられません。
そう、最初に初期設定をする人がもし個人のWindowsアカウントで設定したらどうなるか?
その個人の名前でユーザーフォルダも作成されてしまうということになります。
具体的に言えば例えばcocolofun taroさんがcocolofuntaro@cocolofun.co.jpというメールアドレスで、
Windowsアカウントを新規作成して新しいPCの初期設定をすると、
初期設定でユーザーフォルダ名は「c/user/cocol」となります。
これは社用PCであることを考えればまだいいかもしれません。
ここで言いたいことはユーザーフォルダ名はWindowsアカウントに利用されたメールアドレスの頭5文字が使われるということです。
しかし、例えば総務の人の個人のWindowsアカウントで初期設定を行った場合、
木村さんであれば「c/user/kimur」などになってしまうのです。
もし木村さんが辞めてしまったら次使う人が「昔kimurさんが使っていたんだなぁ」と感慨に浸ってしまいます。
ですから、全員で使うようなPCであれば管理者としてローカルでユーザーを初期設定で作成して、
初期設定を行ってから、社員用のユーザーを作成して運用したほうがいいと考えてます。
ちなみに新しいユーザーアカウントに追加することは簡単ですが、
すでに作られたユーザーフォルダ名を変更するにはレジストリを修正する必要があります。
もし、誰かの個人アカウントで初期設定が行われてしまい、ユーザーフォルダ名を修正するくらいなら、
なるべく業務に使い始める前に最初はAdministratorとかUserというユーザーで初期設定をして、
それから、使う人のユーザーを作成したほうが良いでしょう。
Windows 10 のユーザー名を変更するには?アカウントの種類とそれぞれの変更方法を紹介
https://jp.ext.hp.com/techdevice/windows10sc/26/
利用者が特定できる場合はローカルアカウントの作成
社用PCとはいえ当該PCの利用者は基本的には特定しておくべきです。
これは、何らかの不正なアクセス等が発生した場合原因を追跡できるからです。
決して犯人探しをしたいわけではなく、傷口を塞がなければならないからといえます。
その意味で支給するPC1台は特定の1名が利用するという前提です。
このようにPCの利用者が特定できる場合はそのユーザーのアカウントをローカルで作成しておけば良いですね。
開発などで使わない限りは、初期設定時には別の会社のアカウントで設定したとしても、
支給する社員のユーザーを登録したら、基本は管理者権限をとっておいたほうがいいと思います。
管理者権限を与えないのはソフトウェアは安全性が確認されているものだけを、
インストールできるようにすべきだからです。
通常事務系の用途では困ることはめったにありません。
開発をするのであれば管理者権限を与えた個人アカウントを設定しておく必要があります。
そうでないと、なにかツールを入れるたびに警告が出たり、
コマンドで管理者権限が使えなかったりして必要なライブラリ等がインストールできないということになります。
ユーザー権限を管理する場合は、業務に支障を来さない範囲でできることはすべて実施すべきでしょう。
IT担当不足の中小企業はここに気をつけて!
これまでご紹介してきたポイントはあくまで小さな会社が注意したいことです。
中小企業といえども台数が数百台になるとセキュリティの観点から同時にOSのバッチを当てるとか、
USBやクラウドを通した情報漏えい等に関しても未然に防ぐために、
すべての端末の管理と監視しておく必要があります。そのためのソフトウエアもあります。
しかし、小規模・零細企業ではそこまでのIT投資は難しいでしょう。
数十台ほどであれば一人詳しい人がいればセキュリティ対策も手が回りますので大丈夫です。
しかし、やはりPCを購入したら、従業員にすべてを投げずに、最低限初期セットアップとアップデート、
ウイルス対策ソフトの導入までは総務もしくはIT担当が実施しておくことが大切です。
それ以降は定期的にOSのアップデート等を呼びかけるだけで必要最低限のセキュリティは確保できます。
しかし、個人情報を扱うような業務であればより一層気をつけるべきです。
お金がかけられなくてもできることはあります。
データに強固な暗号化処理をかける、RAIDでバックアップをとる、
外部からアクセスできない環境に置くなど、個人情報が閲覧されないような策を講じることが可能です。
最後にまとめになりますが、
近年はWindowsアカウントのように自動的にファイルをクラウドに保存することも一般的となりました。
会社の業務においては個人アカウントを誤って使わないためにも、
まずは初期設定時に総務やIT担当者はローカルでネットワークに接続せずに行いましょう。
その次にまずは管理用ユーザーを作成し、アップデート、ウイルス対策ソフトの導入し、
PCを利用する従業員用のユーザーをローカルで作成しするなど、
使う人の業務によって権限をコントロールする考え方が大切です。