業務で利用するPC及びソフトウェアの管理

Z社は、従業員数約3,000名の総合商社である。営業系・事務系の従業員は一人1台のPCを使用しており、日中だけでなく深夜も海外との折衝を行っている。

Z社におけるPC及びソフトウェアの管理状況

業務部は、PC及びソフトウェアの管理に関して次の業務を担当している。

1. 全従業員が統一的に利用するPC、統合型ビジネスソフトウェア、ウイルス対策ソフトウェアなどを社内標準として選定し、一括購入する。
2. PCの資産管理、業務で利用するソフトウェアのライセンス管理を行う。
3. 従業員が新たにPCを必要とする場合、事前にPCの標準的な設定を行い、社内標準のソフトウェアの基本セットをインストールした後、利用者に引き渡す。
4. ①インシデントの連絡の受付、対応及び解決に向けた活動を行う。

業務部は、表1 ソフトウェア管理台帳を使ってソフトウェアライセンスの購入、貸出し及び返却を管理する手順について、次のとおり定めている。従業員は、自分のPCにソフトウェアを勝手にインストールすることは禁止されている。

1. 事前にインストールされたもの以外のソフトウェアを利用したい従業員は、ソフトウェア利用申請書（新規）を業務部に提出する。
2. 業務部は、申請内容を確認し、ソフトウェアライセンスの在庫確認を行う。ライセンスの在庫がない場合は、ライセンスを購入する。
3. 業務部は、利用者にライセンスを貸し出し、インストールを許可する。同時に、ソフトウェア管理台帳の貸出日欄に貸し出した日付を、インストール先PC欄にインストールしたPCのPC資産コードを登録する。
4. ライセンスを返却する場合、利用者は、ソフトウェア利用申請書（返却）を提出する。業務部は、ソフトウェア管理台帳の該当項目を初期化する。

事前にインストールされた社内標準のソフトウェアの基本セットは、業務部がソフトウェア管理台帳に一括登録している。

Z社で発生したPCに関わるインシデント

Z社では、この半年間でPCに関わる重大なインシデントが2件発生した。

1. 社外に持ち出していたPCのウイルス感染

   海外に長期出張していた従業員が、社外に持ち出していたPCを持ち帰り、社内LANに接続したところ、ウイルスに感染していることが発覚した。出張中に数日間、PCをスタンドアロンで使用した期間があり、ウイルス定義ファイルが最新版でなくなっていた。その状態で滞在先のホテル内のLANを通してPCをインターネットに接続し、信頼できないサイトにアクセスした時に、ウイルスに感染してしまった。

2. ソフトウェアライセンス管理の不備

   毎月のライセンス棚卸作業で、あるソフトウェアのソフトウェア管理台帳上での貸出ライセンス数が、実際にインストールされている本数よりも多いことが判明した。原因は、PCを廃棄する際に、利用者がソフトウェア利用申請書（返却）を業務部に提出し忘れていたことであった。

その他、インシデントではないが、既に使われなくなったソフトウェアがインストールされたままになっているPCが相当数あり、無駄が生じているという問題もあった。業務部は、ソフトウェアの利用実態までは詳細に把握しきれておらず、従業員が利用申請したときにライセンスの在庫がない場合には、単純に購入していた。

検疫ネットワークの構築とPC診断ツールの導入

Z社では、インシデントの再発防止策として、次の決定を行った。

1. 図1に示す検疫ネットワークを新たに構築する。
2. 利用者のPCの環境設定やインストールされているソフトウェアのバージョン、

パッチなどの対応状況やセキュリティ関連の設定状態を自動的に診断するツール（以下、PC診断ツールという）を導入する。

社内LANへの接続には、DHCP方式を用いる。利用者がPCを社内LANに接続しようとすると、DHCPサーバは検疫ネットワーク用の仮IPアドレスを割り当てる。次に、PCに認証画面を表示し、利用者はログインID（従業員コード）とパスワードを入力する。認証サーバで正しく利用者を認証できれば、PC診断ツールが自動起動して後述の診断を実施し、一定レベル以上の問題がなければ社内LAN用の正式なIPアドレスを割り当て、社内LANに接続できる。

PC診断ツールは、診断サーバと利用者のPCに事前にインストールされている。診断サーバは、全利用者のPCの前回診断結果情報を保有している。最新のウイルス定義ファイルやパッチは、診断サーバの管理の下、インターネット経由で入手する。利用者は、各自の利用者属性情報（従業員コード、所属部門、内線番号など）とPC属性情報（ハードウェアシリアル番号、PC資産コードなど）をPC診断ツールの初回利用時に登録する。社内の各部門に配置されている部門管理者は、部門サーバを使って部門内利用者の属性管理、セキュリティ管理を行う。情報管理サーバでは、従来のソフトウェア管理台帳をDB化して管理する。PC診断ツールの主な機能を表2に示す。

PC診断ツールによるPCの診断は、次の手順で行われる。

1. PC診断ツールは、診断対象のPCにインストールされているOSとソフトウェアの製品名、バージョン情報などを収集する。
2. PC診断ツールは、表2に示した機能に基づいて診断し、診断結果をPC画面に表示する。診断結果には、"○（問題なし）"、"△（注意）"、"×（問題あり）"がある。
3. 診断結果が"×"又は"△"と判定された場合は、利用者がPC診断ツールのガイドに従ってPCを操作し、診断項目ごとに不適切な状態を修復する。
4. ②利用者は、最低限"×"の状態を修復すれば社内LANに接続できる。"△"の状態の修復は利用者に任せられており、事後に修復することが容認されている。
5. 診断結果は、診断の都度、診断サーバに送られる。部門管理者は、個別に利用者を指定することで、その利用者が使用しているPCの直近の診断結果を参照することができる。

ソフトウェアライセンス管理を強化するために、PC診断ツールをカスタマイズする。ソフトウェアのインストールなど、ライセンスに変更が発生したときにもPC診断ツールを起動し、診断手順の(1)を実行する。診断時にPC属性情報であるaとPCにインストールされているソフトウェアの情報を収集し、bサーバ向けに受け渡す。それらを基に、その都度、ソフトウェア管理台帳DBを更新し、実際にインストールされているライセンス数を集計し直す。PCを廃棄した場合、PC管理台帳DBに廃棄情報が登録されると、ソフトウェア管理台帳DB上の当該PCに関する情報を初期化し、実際にインストールされているライセンス数を集計し直す。