treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

会社のPCが自由に使えない理由

今日は会社内でPCユーザに分かって欲しいポイントについてご報告します。

会社のPCって自由に使えませんよね?
自由に会社のPCを使ってよい、という環境にいる方はある意味ラッキーである意味でアンラッキーです。

今日のお話しは、PCユーザが貸与される会社のPCはなぜ「制限された状態」で提供され利用しなければならないのか、という点について管理者側の目線からご説明します。

なんでもできる環境の代表格=家PC

よくパソコンに詳しい人に自分の家PCのトラブルシューティングを相談した場合、環境依存だとか見てみないと分からないとかいう話になることはないでしょうか?
家庭のPCであれば、概ね家の誰かが管理者権限で利用していることが通常ですが、なんでもできる管理者権限だからこそトラブルを引き起こすトリガはたくさんある、と言えます。
なんでもできる、ということは、いったんトラブルが発生してしまうと、どれもがトラブルの可能性になる、ということと同一に考えることができます。

よくインターネットの世界は自己責任の世界と表現されることがありますが、自由な利用が可能な環境というのはこの「自己責任」という言葉によって手に入れている自由なのです。

トラブルシューティングを現実的にするため

自由ゆえに可能性が無限にある環境をトラブルシューティングする、というのはかなりの難題です。制限を掛けることでその可能性をある程度消しておくことより、トラブルを引き起こすポイントを絞りやすくしておく、という効果もあります。

企業内でPCを管理する、ということはユーザがPCを使った業務の効果を最大化しPCが最高の効率で稼働するという状態を引き出すことが要求されますが、ここで前出の家PCのようにトラブルシューティングしたいのによく分からない、というのは管理者としては避けたい状況ですし、手も足も出ない状況にならないように事前に環境を整えておく、ということが業務上要求されます。

よってPCでできることに制限を掛けることにより、トラブル発生時には「この動きはできないからこれが発生した可能性はないな。」とか「この制限が掛かっているということはこれは実行できないはずだ。」とか「セキュリティスイートの動作は停止できないように強制されているからセキュリティスイートで防御できるインシデントは起きていないはずだ。」という見当がつくので、可能性を絞ることができるようになります。これが「問題(障害)の切り分け」というトラブルシューティングの基本動作です。これによって操作ミス、セキュリティ、ハードの故障、ソフトウェア・データの破損、といった様々な問題を絞り込んで対処策を考えだすことができるようになるのです。
これがインストールし放題、OSのファイル消したい放題、セキュリティソフト停止が自由自在、という環境だった場合には、たとえ要因がハードの故障だったとしても可能性が多すぎて、可能性を消していくためには膨大な検証ステップが必要になってしまうのですが、企業内で1台のPCのトラブルシューティングにそんな膨大な時間を掛けてよいシステム部門は少数派です。トラブルシューティングしている管理者が「君、効率悪いよね。」って言われるのが関の山です。

自由は安全のトレードオフ

よく「セキュリティ云々」の話題になりがちですが、自由だとセキュリティレベルにばらつきが出る、というのは一つの事実です。
インターネット上の個人ユーザのPCがセキュリティレベルがぴったり均一でない、というのがその象徴的な状態です。誰かが均一に管理し強制をしなければセキュリティレベルをぴったり均一にすることができないからです。
ある程度のセキュリティレベルか最高を目指したセキュリティレベルか、という差こそあれ、問題が発生しない及第点のセキュリティレベルであればそれなりに安全、とみなして環境を利用することができます。ですが、企業内ではそうもいきません。
問題が発生した時に「うちは安全ですよ。」という状況がつかめているかどうかと日々安全になるように活動できているかは企業としては要求されるセキュリティレベルです。
ここが、他のインターネット上のコンシューマ向けのように「自己責任で」などという状況で企業内の環境が動作していたとしたらどうか?というと「自己責任で済む話じゃない」という事象もいくつもあります。よって企業内では制限を掛ける(アップデートなどを強制する)代わりに、安全であるという状態を保証するようにしています。
ここが自由な環境であればある意味アンラッキーと言える部分です。ひとたび問題が起きればユーザ自身が疑われたり罰せられたりするかもしれません。
ユーザ一人一人がセキュリティの知識を持って常に最新のセキュリティ情報をウォッチして必要な対処策を実行すればいい、という話にも置き換えれますが、全員がセキュリティの知識を習得して常に最新のセキュリティ情報をウォッチするとなると、従業員全員分の時間がこれに消費されてしまうのは、いささか効率が悪いという考え方もできます。これを1人で実行してしまうことができるのであれば、1人に任せてユーザは他の必要な業務を実行してくれた方が会社としてはありがたい、というのが「制限された状態でPCを利用する」というシチュエーションです。ユーザは自由ではありませんが、代わりにセキュリティ対策に必要な調査・対処に時間を割く必要がありません。

制限する目的は安全性の担保

総じて、自由に使えないPC環境、というところについて取り立てて(舌鋒鋭く)批判を展開するユーザがたまにいるのですが、安全性を確保する(護る)ためのこういった効率化を会社がやっている、という点についてもう少し理解があってもいいんじゃないか、って個人的には思います。