Netwiz LLC

大企業のIT管理は真似しなくていい。PCの利用制限・スマホ・ネットワーク機器、規模で変わる現実解

ネットウィズ合同会社 庄司育雄

大企業から転職してきた社員に「前の会社ではUSBメモリは使えなかった」 「ソフトのインストールは申請制だった」と聞いて、 うちは何もしていないが大丈夫なのか、と不安になる——。 あるいは取引先から届いたセキュリティチェックシートに 「アクセス制御」「デバイス管理」と並んでいて、 大企業と同じことを求められている気がしてくる——。

先に結論を書きます。大企業と同じ手段を導入する必要はありません。 ただし「だから何もしなくていい」でもありません。 大企業が高価な仕組みで実現していることの多くは、小さな組織なら もっと安く、軽い手段で同じ目的を達成できます。 この記事では、PCの利用制限・PCの管理・スマホ・ネットワーク機器の4領域について、 大企業のやり方と中小企業の現実解を対比しながら解説します。

前提の違い: 大企業の対策は「顔の見えない数千台」を回すための仕組み

大企業のIT管理が厳格なのは、意識が高いからというより、 そうしないと物理的に回らないからです。

  • PCが数百〜数万台あり、1台ずつ目視で確認することは不可能
  • 従業員全員の顔と仕事ぶりを把握している人はいない
  • だから「人を信頼して運用でカバーする」が成立せず、技術で強制するしかない
  • そのための専任部門(情報システム部)と年間予算がある

一方、小さな会社や団体は正反対の条件です。 PCは数台〜十数台で全台に目が届き、誰が何をしているかもだいたい分かる。 専任のIT担当はいない代わりに、意思決定は速い。

つまり規模の差は「やるべきことの差」ではなく「実現手段の差」です。 守りたいもの——データ・お金・信用——は同じでも、 数千台前提の道具をそのまま数台の環境に持ち込めば、 ライセンス費用と運用の手間だけが残ります。 以下、領域ごとに「大企業は何をしているか」「小規模は何で代替するか」を見ていきます。

1. PCの利用制限——勝手なインストール・USB・設定変更

大企業のやり方

大企業では、従業員のPCは「会社が設定を配って管理する端末」です。

  • グループポリシー / MDM: 全PCの設定(パスワード要件、画面ロック、 ソフトのインストール可否)をサーバーから一括配布し、強制する
  • 資産管理・操作ログツール: どのPCで誰が何のソフトを起動し、 どのファイルをUSBにコピーしたかまで記録する
  • USBデバイス制御: 許可された機器以外は、挿しても認識しない

小さな会社の現実解

同じ目的——勝手なソフトや持ち出しによる事故を防ぐ——は、 次の組み合わせでかなりの部分を達成できます。

  1. 日常業務は「標準ユーザー」で使う(無料・今日できる)。 WindowsにもMacにも、ソフトのインストールや設定変更のときに 管理者パスワードを要求する仕組みが最初から備わっています。 日常のアカウントを標準ユーザーにし、管理者アカウントを別に作って そのパスワードを経営者側で管理するだけで、 「知らないソフトが勝手に入っていた」の大半は防げます
  2. ルールを1枚に明文化する。「業務PCに入れてよいソフトは一覧のもののみ。 追加したいときは◯◯さんに相談」「USBメモリは会社支給品のみ」—— 技術で強制する代わりに、ルールと、台数が少ないからこそできる目視で担保します
  3. もう一段やるなら、MDM。Microsoft 365 の上位プラン(Business Premium)に 含まれる Intune などを使えば、大企業と同じ「設定の一括配布」が 月額サブスクの範囲でできます。ただし設定と運用の手間は増えるので、 PCが10台を超えて目視がつらくなってきた段階で検討すれば十分です

2. PCの管理——台帳・更新・入れ替え

大企業のやり方

  • 資産管理ツールが、全PCの型番・OS・インストール済みソフトを自動収集する
  • パッチ管理の仕組みが更新プログラムの適用状況を集計し、未適用のPCを検出する
  • 調達・セットアップ・廃棄は専門業者(キッティング業者)へ外注する

小さな会社の現実解

台数が少ないことは、この領域では明確に利点です。

  • 台帳はスプレッドシートで十分: 1台1行で「使用者・型番・購入年・OS」。 作るのに1時間かかりません。これがあるだけで、 Windows のサポート終了への対応や PCの入れ替え計画が段違いに楽になります
  • 更新は「自動更新オン」を全台で確認: 適用状況を集計する仕組みの代わりに、 自動適用に任せて、年に1〜2回全台を目視で確認します
  • 年1回の棚卸し: 台帳と実物を突き合わせます。10台なら30分の作業です

3. スマホ——会社支給・私物利用・紛失対策

大企業のやり方

  • 会社支給の端末にMDMを入れ、アプリの配布と制限、紛失時の 遠隔初期化(リモートワイプ)、私物スマホでの業務利用の禁止までを一括管理する

小さな会社の現実解

先に決めるべきは道具ではなく方針です。会社支給か、私物利用か

  • 会社支給にできるなら、支給が単純: 退職時は端末を返してもらえば終わりです
  • 私物利用なら、最低限のルールを文書にする: 画面ロックを必須にする・ OSの更新を止めない・退職時に会社アカウントを端末から削除する。 この3点だけでも決めて周知してください
  • 紛失対策はOS標準機能で足りる: iPhoneにもAndroidにも「探す」機能と 遠隔でのデータ消去が最初から入っています。MDMがなくても、 各自が有効にしているかを確認しておけば、紛失時に同等の対応ができます
  • 会社のデータは端末ではなくアカウント側に置く: メールも顧客情報も クラウドサービス側にあれば、退職や紛失のときは アカウントを止めれば守れます。 なお、業務連絡が私物のLINEに流れている場合は、 その状態自体に別の問題があります

4. ネットワーク機器——UTMと家庭用ルーターの間

大企業のやり方

  • UTM・次世代ファイアウォールが、出入りする通信を検査する
  • 管理型スイッチとVLANで、部署ごとにネットワークを分離する
  • 無線LANは集中管理型のアクセスポイントを多数設置し、専任者が監視する

小さな会社の現実解

この領域は上を見ればきりがない一方、 最低ラインを外している事務所が非常に多い領域でもあります。順番に。

  1. 家庭用ルーターからの卒業: 量販店の家庭用Wi-Fiルーター1台で 事務所全体を賄っているなら、法人向けの入門クラスの ルーターやアクセスポイントへの更新を検討してください。 同時接続台数への強さ、ファームウェア更新の管理、保証の面で差が出ます。 Wi-Fiが遅い問題の解決と兼ねられることも多いです
  2. 来客用と業務用のWi-Fi分離: VLANを組まなくても、多くの機器にある 「ゲストSSID」機能で、来客の端末を業務ネットワークから隔離できます。 設定1つで、大企業の「ネットワーク分離」の目的の一部を果たせます
  3. 管理画面のパスワード変更とファームウェア更新: 初期パスワードのまま、 購入以来一度も更新していない機器は、それ自体が侵入口になります
  4. UTMは必須ではない: 数人の事務所にUTMのリース契約(総額100万円超)を 勧める営業は珍しくありませんが、業務がクラウド中心なら 効果が費用に見合わないことも多いです。導入を勧められたら、先に 見積もりの確認ポイントを読んでください

対応表: 目的は同じ、手段が違う

目的大企業の手段小規模の現実解
勝手なソフトを防ぐグループポリシーで禁止標準ユーザー運用+ルール1枚
PCの状態把握資産管理ツールスプレッドシート台帳+年1回の棚卸し
更新の徹底パッチ管理システム自動更新オン+年1〜2回の目視確認
スマホの紛失対策MDMでリモートワイプOS標準の「探す」+アカウント停止
ネットワーク分離VLAN設計ゲストSSIDで来客を分離
通信の常時監視UTM+専任の監視体制多くの場合、優先度は上記より後

やってはいけない2つの方向

  • 大企業の道具をそのまま導入する: 資産管理ツールやUTMのフル装備は、 導入して終わりではなく「運用する人」がいて初めて機能します。 専任者のいない環境では高価な置物になるか、 誰にも読まれないアラートが流れ続けるだけになります
  • 「うちは小さいから狙われない」で何もしない: 攻撃の多くは 規模を選ばない自動化された無差別型です。むしろ 取引先へ侵入する踏み台として、 対策の緩い中小企業が狙われる構図が定着しています

まとめ

  • 大企業の厳格な管理は「顔の見えない数千台」を回すための手段。目的は同じでも、小さな組織には小さな組織の実現方法がある
  • PCは標準ユーザー運用とルール1枚、管理はスプレッドシート台帳、スマホはOS標準機能とアカウント管理、ネットワークはゲストSSID分離と機器の更新——ここまでは大きな投資なしで到達できる
  • 道具の導入を迷ったら、「それは誰が運用するのか」を先に考える

自社がいまどこまでできているかは、 セキュリティ簡易チェック7項目から確認できます。 「PCが増えてきて目視の管理が限界」「UTMの見積もりを受け取ったが判断できない」 といった場合は、台数と現在の機器構成を添えて無料相談からどうぞ。