周知・試験運用期間を設けて、現場に十分な理解を得る
社内のUSBメモリ利用実態に合わせて、利用ポリシーを定めると手順が複雑になりがちです。そのため、一度にすべてのポリシーを適用して、管理ツールで制御しようとすると、利用者が困惑してしまう場合があります。また、利用ポリシーの遵守を浸透させるためには、これまでは自由に利用できていたUSBメモリが使えなくなることへの心理的反発も考慮する必要があります。
まずは、USBメモリの利用ポリシーについて、社内で十分な告知を行うことが大切です。可能であれば、研修などを実施して、USBメモリを安易に取り扱うことのリスクや、どういう運用を目指しているかを周知し、情報セキュリティ対策への理解を得ることが理想です。
その上で、実際の制御を始める前に試験期間を設け、許可されていないUSBメモリがPCに接続されるなど、利用ポリシーに反するような操作が行われた場合、即座にUSBメモリの接続を遮断するのではなく、注意喚起するメッセージをPC画面に表示するなどして、どういう場合に利用ポリシーに反してしまうのかを、体験を通じて理解してもらうことも有効です。
運用開始時はシンプルで徹底しやすい運用ポリシーから
例えば、使用制限は行わず、利用者自身にUSBメモリの使用を申請してもらい、使用するUSBメモリをSKYSEA Client Viewに登録することで、情報セキュリティ意識を高めることからはじめられた事例もあります。このとき、未登録のUSBメモリが接続された場合には管理者に連絡するようにメッセージを表示したり、定期的に研修を実施したりすることで、情報セキュリティ意識を高めておられます。
また、SKYSEA Client Viewなどの管理ツールでは、未登録のUSBメモリをPCに接続すると、自動的に管理台帳に登録されるよう設定することも可能です。USBメモリのシリアル番号などのデバイス情報が管理台帳に登録されたことを示すウインドウを、利用者のPCに表示することもできるので、「勝手に持ち込んだUSBメモリは使えない」ということを認識してもらうきっかけとして活用するのも良いかもしれません。
こうした取り組みを進めていく中で、お客様からお預かりしたUSBメモリなどを例外的に使用するような場合には、利用者が自主的に管理者へ連絡してくれるようになったという事例もあります。これらの例のように、十分に周知を図りながら、段階的に運用を進めてくことでスムーズに管理体制が構築できるようになります。