ITにおける標準化策定:機能のクラス分け

昔の資料をほじっていたら懐かしい資料が出てきたので、今風にまとめてみたいと思います。


ITにおける標準化策定:機能のクラス分け_a0056607_14551568.jpg



社内のIT管理において、標準化は重要なのですが、全てにおいて「ベキである」というのはなんとなく馴染みません。もともと、そう言った日本語表現自体、曖昧さが含まれてしまいます。

その点、外資系企業のIT部門から来る連絡文書はキッチリと表記されており「なるほどな」と思わせられるドキュメントが多いようです。

そこで、ここではシステムの標準化に必要な「重要度のクラス分け(Classify)」について説明します。



クラス分け(Classify)

クラス分けは、標準化規定に重要な表現を与えます。「~しなければならない」「~すべきである」「~を推奨する」といった表現の曖昧さを排除し、システムの仕様と行動の規定に明確なランクを付けることです。重要度、責任範囲の明確化、優先度に対してのテンプレートを作成し、的確な対策を検討するリソースとなります。


必須(Mandatory/MD)

一般に外資系企業で Mandatory と表現される場合は、Must と同義語と捉えます。

必須のクラスは、システム、またはユーザが最低限のレベルとして必ず守らなければならないレベルを示します。

例えば、要求される機能が必須のランクに属する場合、システムとしてその機能が必ず有効であるようにすべきであり、その機能が満たせないケースで発生したインシデントについては組織として責任を負わなければなりません。

また、行動の水準としてユーザが守るべき必須事項であると定められた場合、ユーザはその指針に従って行動すべきであり、指針に従わず発生したインシデントについては個人の責任です。ただし、その行動水準が組織的にユーザに充分説明されていることが重要です。


強く推奨(Strongly Recommended/SR)

強く推奨されるクラスは、本来必須のランクに属するレベルです。しかし、システムの機能やユーザの行動上やむを得ない場合、または事実上不可能な場合に限定すべきレベルであり、何らかの代替手段や制限事項の説明が必要になります。


推奨(Recommended/RD)

いくつかの選択肢の中で優先すべき事項のレベルを示します。システムは必ずその機能を満たす必要はないのですが、その機能が利用可能な場合、特別な例外を除外して、有効とすべきレベルにあると判断します。

ユーザはこのランクの行動指針とされた項目に対して行動すべきであると理解します。


オプション(Option/OP)

いくつかの選択肢の中で、複数の項目が選択可能であるというレベルを示します。システムは選択可能な機能の一部として、これらの機能を選択することができます。ユーザは、オプションとされている行動指針の中から、自身の目的に適合する方法を選択することができます。

例えば、「強く推奨(SR)」あるいは「推奨(RD)」が指定されている場合、代替的手段(ALTanative) として Option を提示すると良いでしょう。






組織と部門、個人のレベルでのクラス分け

標準化をする場合、全社レベルでの標準化が必要なケースと、部門、業務内容、地域、同じグループ企業、あるいは個人レベルなど、標準化される規模を決めておくことが必要なケースがあります。

基本的に全社として守るべき標準化仕様は拘束力が大きく、このレベルで必須 (MD) レベル仕様、指針は全組織で保守するべき事です。 組織全体で維持できない標準化の策定は、地域や関連組織、業務形態レベルで考慮し、標準化を策定します。


全社/グループ

全社規模、もしくは、世界企業グループなどを一まとめにした標準化のレベルです。ここで策定された基準は組織全体で遵守しなければなりません。一方で、個々の地域や関連組織に応じた法令や地域の事情、部門による業務形態については、別個策定が必要なケースがあります。その場合、全社レベルの重要度は下げて、Optional な手段を提示する必要があります。



地域/会社(OP)

組織が世界規模、あるいは全国規模の企業グループである場合など、それぞれの国、地域、事業体の事情により標準とする機能が異なる場合の標準化レベルです。例えば、キーボードは US キーのみ必須(MD) とするか、JIS 配列を日本国内では許可 (OP) するかとかです。


部門(OP)

部門、部署などで標準化するレベルです。例えば社外秘を主に扱う総務部門では、ラップトップの利用を認めないとか、営業、サービス部門では、ラップトップを推奨するが、持ち出すにあたり最低限の機能を備える事が求められたり、行動指針として禁止事項があるケースなどが考えられます。

部署によっては Windows 以外のプラットフォームが必要なケースや、取引先とのデータの互換性によって、組織や地域でスタンダードではない特殊なソフトウェアが必要な場合があります。



個人

それぞれの個人が標準化するレベルです。例えば個人所有の携帯端末でメールのダウンロードは許可するが、送信は許可されないとか、自宅に社外秘となる文書、リソースを保管してはならないとか、リモートワークを行う上で、組織のメンバーとして心がけなければならない行動指針を標準化してまとめておきます。

より上位のレベルでの規定で制限されるか、システム上「できない」機能にして置くことが最善ですが、行動そのものを完全に制限することが困難な場合、「するべき」か「してはならない」事と規定し、個人が業務を通じて行う行為を周知し、必要に応じて訓練を実施すべき事などを規定します。


参考例

パーソナルコンピュータの仕様の共通化

・組織内の事務処理に必要な機材として、オフィスワークを主たる業務に就く場合、一人一台のパーソナルコンピュータを貸与する。ランク:必須(MD)
・2023 年現在、貸与されるPCは Windows10 Pro を標準として強く推奨(SR) する。
・Windows11 Pro は業務に必要な場合を除き、オプショナル(OP) とする。
・Windows HOME シリーズは使用しない(MD)
・業務内容によって、mac OS 、Linux OS その他システムが必要な場合は Optional とするが、共通業務に利用するための Windows デスクトップにアクセスできる手段を用意する、(SR)
・全ての業務に利用されるデバイスは必ずパスワード、生体認証などで本人以外の利用者が利用できないように保護されなければならない(MD)
・個々のユーザIDは固有であり、共有ユーザアカウントはセットアップなどの特殊な事由(OP)を除いて使用してはならない(SR)

・標準仕様の PC は以下のスペックとする
-- Intel Core i シリース第10世代以降(SR) もしくは AMD Ryzen シリース(RD)
-- 8Gb 以上のメモリ(SR)、できれば 16Gb 以上のメモリ(RD)
-- 256 Gb 以上の半導体ストレージ(MD)
-- 人事、経理システムにアクセスできる端末は固定 Desktop タイプで持ち運び不可であること(MD)
-- 外勤を伴う業務を行う部署ではラップトップタイプを利用しても良い(RD)
ただし、持ち運ぶ場合、ファームウェアBIOSによるパスワードロックと BitLocker を使用すること(MD)
-- ブランドは HP もしくは Dell であること(SR)、入手が困難な場合 Lenovo を選択しても良い(Op)


・ コーポレートレベルで調達契約を結んでいるベンダーから調達すること(SR)必要な機材が契約先ベンダーにない場合、あるいは著しく調達価格が異なる場合は、稟議上梓の際に事由を記載して調達することができる(OP)


これはベンダー側の都合かもしれませんが、ユーザ側のスタンダード基準が明確な場合、提案内容はより具体的になります。

他にも、機器やシステムのパスワード、ID 管理のレベル、文書の極秘具合に関する取り扱いの事項など、IT の分野でエンドユーザが取り組むべき標準化、併せて組織、部門が目指すべき目情を文書化して、提示することが求められます。

ユーザアカウント名は8文字以内にすべきか?ユーザの命名規則の理由と対策


パスワードポリシー強化各種設定のいろいろ、文字数、文字種を指定
コンピュータ名(ホスト)の命名規則? 15文字の63バイト制限








by islandcenter | 2023-06-26 09:40 | 雑文 | Comments(0)