« 2009年2月 | トップページ | 2009年4月 »

2009年3月

パソコンに対する権限を制限する事について

実際のところ、これから社内ヘルプデスクを作ろうとされている組織で一番多い状態は、「オールアドミン」ではないでしょうか。全ての利用者がAdministrator(管理者)権限を有している状態で、言ってみれば何でもありの状態です。これは、社内ヘルプデスクとしては一番避けたのですが、一度その状態にしてしまう(なってしまっている)と、後から制限をかける事は非常に難しくなります。「何故今まで出来ていた事ができなくなるんだ?」という声が必ず出るからです。便利と管理は相反する要求ですからね。

パソコンは使い方を誤るととても危険な道具です。利用者が意図している、していないに関係なく、悪意を持ったプログラムが動作してしまう事により、とんでもない状況が発生してしまうなんて事はよくある事です。もし、利用者のスキルが高く、また、モラルも高い職場であれば、オールアドミンの方が業務を効率良く行う事が出来るでしょう。しかし、少しでもそうではない可能性が考えられるのであれば、社内ヘルプデスクとしては権限を一定レベルで制限する事を考えるべきです。

●ソフトウエアインストールを制限する
仕事場のパソコンに利用者自身が勝手にソフトウエアをインストールするという状況は、出来れば避けたいところです。何故なら、「ライセンス管理」「パソコンのコンディション維持」「悪意を持ったソフトウエア混入の防止」という側面での危険が伴うためです。そのため、一般の利用者はソフトウエアのインストールが出来ないよう制限してしまうのが良いでしょう。しかし、そうしてしまうと、「業務で必要だ」という理由であってもソフトウエアをインストールする事が出来なってしまいます。そのため、制限を掛ける際には、一定のルール制定と権限委譲が必要になります。規模が小さければ、社内ヘルプデスクが都度ソフトウエアのインストール対応を行っても良いでしょうし、そうでなければ、各部署の代表者に管理者権限を与えるという方法もあるでしょう。社内ヘルプデスクとしては、「不正なライセンスではなく」「パソコンのコンディションを悪くせず」「悪意を持ったソフトウエアではない」ものであり、それが業務効率を向上させ会社の利益に貢献するのであれば、それを断る理由はない、という発想で対応に挑むと良いでしょう。

●ネットワーク設定を制限する
会社のネットワークは厳格に管理する必要があります。ネットワーク利用のポリシーや具体的な接続ルールは専門家であるネットワーク管理者が制定し、社内ヘルプデスクはそれに準拠するというやり方が理想です。そのため、パソコンの利用者はネットワーク設定を変更できないようにするのが良いでしょう。ネットワークへの接続については、Macアドレスによる制限や、色々な認証技術が存在しているため、それらとパソコンの設定を組み合わせて使うのが良いでしょう。

●ファイルのアクセスを制限する
「マイドキュメント」フォルダへのアクセスは、各ユーザのみが行える様に制限するのが良いでしょう。会社の情報は隠す必要がない、という発想もあるにはある(私も実はその発想が色濃い部分があるのですが)のですが、やはり、組織となると色々な情報があるため、「ここに置けば他の人からは見れない」という場所を確保しておく事が大切です。そしてその場所については、社内ヘルプデスクであっても容易にアクセスする事が出来なくしておく事も、無用な誤解を招かないようにするためには必要になるでしょう。

少しだけ書いてみましたが、最初に書いたとおり、後から制限をかける事は非常に難しいです。そのため、何らかの機会(たとえば、OSを入れ替えるとか、パソコンを入れ替えるとか。)をうまく利用して制限をかけると共に、制限をかけなければならない理由を全社的な合意にしてしまうような動きも出来ればなお良いでしょう。そのあたりの動き方については、セキュリティやリスク管理という話になりますので、また別の機会に紹介したいと思います。

次回は少し気持ちを切り替えて、プリンタと複合機について書いてみたいと思います。よろしくお願いします。

| | コメント (0) | トラックバック (0)

脆弱性パッチやソフトのアップデート管理をどうするか

OSを含むパソコンのソフトウエアは、「脆弱性」なんて呼ばれる困った症状を抱えているものが多いです。これは「バグ」や「仕様定義ミス」と言ってしまえばそうかもしれませんが、これだけ仕組みが複雑になってしまっていたり、社会が要求するレベルが上がってしまったりするため、価格と要求を満たすためのバランスを考えれば仕方ないという側面があるという事も理解しなければならない状況です。そして、残念ながら世の中にはそれを悪用する輩がいるため、社内ヘルプデスクとしては、どうしても脆弱性パッチをインストールするという対応しなければならない状況になってしまいます。

●利用者自身にインストールを依頼する方法
ソフトウエアのインストールを利用者自身にやってもらうという選択肢もあるでしょう。利用者がパソコンに対してある程度の知識を持ち、インストール操作に対する権限が付与されていれば、作業は誰がやっても結果は同じです。社内ヘルプデスクとしては、手順と必要なファイルを配布する事(WindowsUpdateを利用するならその案内)と、各利用者から結果を回収する仕掛けを作るのみで対応する事が可能です。ただし、本当にきちんとそれらの変更が反映されているかどうかの確認や、インストール作業中の障害対応等、利用者自身が行うことによる弊害も把握しておかなければなりません。

●社内ヘルプデスク自身が作業する方法
初期投資が一番抑えられるのがこの方法かもしれません。1台ずつ確実に処理できるという利点がありますが、台数と作業時間が比例するという問題もあります。また、利用者との作業時間調整も必要になるでしょう。

●何らかのツールを使って行う方法
Microsoft社の「System Center Configuration Manager(旧製品名 Systems Management Server)」という製品を用いれば、ネットワークを用いてソフトウエア(Microsoft社製品に限らない)のインストールや管理を行うことが可能です。類似した他社製品も多くありますし、Windowsのドメインを構築していれば、「ログオンスクリプト」を用いてソフトウエアを配布する事も難しくはないでしょう。導入時や運用に対してかなり費用が発生します(ログオンスクリプトの場合は自作の工数)が、これらのツールを用いれば社内ヘルプデスクとしての作業や管理が軽減されるでしょう。ただし、これらのツールを使う場合は、過信しないように気をつけなければなりません。具体的には、配布漏れが発生していないかの確認やその対処が必ず必要になる、という事です。

脆弱性対策のパッチを1つ1つのインストールする事は、そう難しい事ではないでしょう。実のところ、ここで一番厄介なのは、これらのアップデートをどう管理するかという問題です。社内で稼働させているパソコンに対し、どれに何をしてどうなっているのかという情報管理が大変なのです。

そこで少しでも管理の手間を軽減したいと考えた場合に有効なのはやはり、「全て同じにする」という発想が大切です。組み合わせが増えればそれだけ管理が大変になります。たとえば、AとBという脆弱性パッチをインストールしなければならない状況が発生した場合、如何にして早く全てのパソコンにAとBをインストールするかを考えて実行するのです。そうしないと、Cという脆弱性パッチが新たに登場した時に、「AとBが入っているもの」「AとBが入っていないもの」が混在してしまうと、Cを配布する場合にそれらに対して分岐を考えなければならなくなるからです。それが複数段階になってしまうと、もう手に負えなくなります。

脆弱性パッチやソフトのアップデート管理については、規模や予算により最適な方法を選び、かつ、脆弱性パッチは「全台一斉配布を常に完了させる」という流れを組み立てるのが結果的に一番簡単、かつ、確実に対策が取れる事になります。

次回は権限を制限する事について書いてみます。よろしくお願いします。

| | コメント (0) | トラックバック (0)

一括セットアップする容易な方法「ハードディスクコピー」時の注意点

パソコンをセットアップするのは大変手間がかかる作業です。OSのインストール、ソフトウエアのインストール、ネットワークの設定、なんちゃら、かんちゃら、、、と、本当に大変です。

世の中の大勢の人が大変な思いをしているという事で、それに対する解決策は幾つも存在しています。一番簡単で確実なのは、同じパタンのパソコンに対して、セットアップした1台の状態のハードディスクをコピーする、という事でしょう。

ハードディスクの中身をコピーするだけであれば、フリーのソフトも多数存在しています。それぞれのソフトについての紹介は別の機会に行うとして、今回はコピーする際の注意点を紹介しておきます。Windowsでのお話です。

●手動で変更できないSIDという重要な項目がある
ハードディスクの中身をコピーする際に注意しなければならないのは、「全く同じになってしまっては困る項目がある」という事です。ネットワーク接続しなければさして問題にはならないのですが、今現在、ネットワークに接続しないで使うという用途は殆どないでしょうから、この項目の変更は必須と言えます。

容易に想像できるのは、コンピュータ名やIPアドレスです。しかし、そうではなく、実は、Windowsでは表面上見えないSID(SecurityID)と呼ばれている項目を使って、パソコンを識別している場合があるのです。ハードディスクコピーにより同じSIDを持ったパソコンがネットワーク接続 されてしまうと、それらのパソコンが意図せずドメインから外れてしまうとか、管理情報がおかしくなってしまうとか、そういう障害が発生してしまいます。それを防止するため、ハードディスクコピーを行ってセットアップを簡易化する際には、必ずSIDが初期化されるようにしなければなりません。

●sysprepを使ってSIDを初期化する
SIDを初期化するには、Windowsに付属している「sysprep」というツールを用います。使い方は簡単で、あらかじめ1台のパソコンをセットアップした状態で「sysprep」を実行する事で、そのパソコンのハードディスクがコピー元のオリジナルに変更されます。それを必要なパソコンにコピーした後、各パソコンを起動すると、Windowsの主要な設定部分のみ、新規でセットアップしたかのような状況でセットアップする事が可能になるのです。

詳細な使い方については、@ITのサイトが参考になるでしょう。

■@IT「sysprepで環境複製用のマスタ・イメージを作成する」
http://www.atmarkit.co.jp/fwin2k/win2ktips/553sysprep/sysprep.html

次回は、脆弱性対策のパッチ適用について紹介したいと思います。よろしくお願いします。

| | コメント (0) | トラックバック (0)

パソコン管理のポイント「パタン」を減らす

管理するのが一番厄介であろう「パソコン」について、「パタン」を減らすという事を書きたいと思います。

社内で使う大半のパソコンは、電卓並みの「道具」として割り切るべきです。たとえば、ビデオ編集機能が必要だとか、開発のために膨大なメモリが必要だとか、そういった個別の要求に対応しなければならないものを除き、少ないパタンで「同じ」になるようにしましょう。そして、そういった個別の要求に対しては、「個別の要求を出している人(部署)」に独自で対応してもらう、もしくは、標準的なサービスではない事を明示した上で、社内ヘルプデスクで対応するのが良いでしょう。

ここで言う「パタン」とは、以下のような組み合わせの数を指しています。

■パタン=機種×OS×アプリケイションの組み合わせ

たとえば、4機種でそれぞれWindowsXPとWindowsVistaがあり、アプリケイションの組み合わせが3種類あったとしましょう。

この場合のパタンは、

4×2×3=24

となり、24通りのも組み合わせを常時管理しなければならなくなってしまうのです。たとえば、OSのパッチ適用や、新たなアプリケイションをインストールしようとした場合、本気で検証しようと思えば、この24通り全てを実施する事になってしまいます。もしこの状態に、さらにアプリケイションの組み合わせを1 つ増やせば、32通りになってしまいます。どこを落としどころとするかを考えるだけでも、ゾッとしてしまいます。

今現在、社内のパソコンがバラバラ同じにはならない、という事情は、よくある事です。そういう場合は迷いなく、将来同じにする事ができるよう、社内で働きかけを行うべきです。

●「同じ」にするメリット
 一括導入で単価を安く出来る→経費が節約できる
 同じ物でセットアップを容易にできる→作業時間が短縮できる
 なんらかの変更作業が統一手順になる→作業時間が短縮できる
 同じ物で交換を容易にできる→故障時に素早く復旧させられる

●「同じ」にするデメリット
 ロット不良等の影響が大きい
 同じ脆弱性を持つ事になってしまう
 その機種で不可能な要求が出た場合に対応出来ない

ここでポイントになるのは、何パタンにするかという事と、交換の周期をどうするか、という事、そして、交換する際には「まだ使える」「まだ使いたい」と思っても交換するという事です。残念ながら、パソコンは永遠に使い続けることが出来る機械ではありません。たとえば、5年リースにするのであれば、5年を周期に入れ替える計画を立てるのが良いでしょう。(個人的な本音のお勧め期間は3年です。)それが一気に集中してしまうと交換が大変になるため、幾つかに分けて、交換時期をズラすのです。分ける際に、異なるメイカー、異なる機種を選定する事で、ロット不良の影響や、その機種で不可能な要求の対応策にもなります。そして、交換する時には1台も残さず交換する事で、無用にパタンを増やすことなく、きちんとした対応を維持する事が出来るのです。

次回は、パソコンのセットアップについて書いてみたいと思います。よろしくお願いします。

| | コメント (0) | トラックバック (0)

« 2009年2月 | トップページ | 2009年4月 »