ソフトウエア

特定条件でのみ使用するソフトウエアのライセンス管理

特定条件でのみ使用するソフトウエアのライセンス管理はかなり厄介です。「特定条件でのみ」というのは、どこかの部署のみであるとか、どういう業務をする人のみ、というような、「全台共通で入れるソフトウエアではないもの」です。

そういったソフトウエアは、購入時にはどのパソコンにどれを入れてどうなっているという情報が分かっていても、管理を手抜きすればすぐそれが分からなくなってしまいます。また、どういう条件で購入したのかよく分からないソフトを見つけた人が、「あるから使って良いだろう。」という事で勝手にインストールしてしまい、結果的にライセンス違反を犯してしまっている、、、なんて事も発生する可能性があります。つまり、社内ヘルプデスクとしては、物理的なメディア(もしくはインストールに必要なファイル)の管理と、それをどこでどう利用しているかの管理の両方をうまく実現させなければなりません。

ライセンス管理は、SCCM等で実現する事も可能です。しかし、実際にはサーバとクライアントの通信がうまくいかないであるとか、ネットワークに接続しないパソコンは情報を吸い上げる事が出来ないであるとかの問題が発生し、それだけで本当にうまく行くかどうかというと、非常に怪しいというのが私の考えです。

では、どうすれば良いか?

ここは、一部ローテクになりますが、台帳系の仕組みをきちんと作って運用するしかありません。機器に番号を振るという話を書きましたが、ソフトウエアのライセンスもそれと同じ手法で管理するのです。機器とソフトウエアを個体が識別出来る形で情報管理し、インストールしたという事を組み合わせで表現するのです。「インストールする」という作業と台帳更新をセットにして、実際の利用状況は台帳で管理するようにすると同時に、「アンインストールした」もしくは「初期化した(=そのソフトウエアを取り除いた)」「廃棄した」という作業も台帳更新をセットにして、ソフトウエア利用の実体と台帳が完全に一致する仕組みを作っておくのです。こうしておけば、ライセンスキーが必要なソフトウエアであっても、どのライセンスキーを使っているのかという管理まで含めて、実体と台帳を無理なく無駄なく管理する事ができるようになります。

仕組みを作るのは少し大変かもしれませんが、機器管理の一環として取り組めば容易に実現できる事に気がつく事だろうと思います。ソフトウエアの事も含めて全体を最適化すれば、有形、無形、双方の物の管理が簡単、かつ、確実に行えるようになるはずです。

次回もよろしくお願いします。

| | コメント (0) | トラックバック (0)

AdobeReaderの脆弱性対策が追いつかない?

AdobeReaderの脆弱性を突く攻撃が流行っています。いつの間にか、PDFファイルも悪用されると危険なレベルまで高機能になってしまっていたという事も驚きですし、それが攻撃対象になってしまうぐらい普及しているというのは凄いと思います。

さて、社内ヘルプデスクとしては、脆弱性を放置して被害を発生させてはいけませんから、何らかの対応を求められる事になります。しかも、この脆弱性対策がかなり大変で、頭を悩まされます。というのも、Adobe社はここ数ヶ月で立て続けにAdobeReaderの対策版をリリースし、しかも、それらは「差分」だけしか提供されていないものもあるため、インストール、アップデートが大変だからです。

特に、社内システムでの帳票をPDFで生成しているような場合には、それなりの動作確認が必要になるので厄介です。勿論、Adobe社はきちんと上位互換していると主張するでしょうが、本当に大丈夫かどうかを確かめてから適用しなければ、バージョンアップが原因で業務が止まってしまっては損失が発生してしまう事になるからです。しかも、フリーで配布されているAdobeReaderが何かおかしいという事になっても、Adobe社がきちんとサポートしてくれるとは考えられません。

なにも、AdobeReaderだけには限らないのですが、こういった脆弱性対策のアップデートで社内ヘルプデスクとして最低限準備しておかないとならないのは、以下の3点です。

1.自分たちで判断して良いものかどうかの情報
2.必要十分なテストケース
3.各パソコンへのアップデート手段

1番は、動作保証範囲や保守契約と言った、技術的ではない部分の要素です。「自分たちで試してOKで良いのか、それとも、ベンダーさんに動作保証して貰わないといけないのか。」というような事は、何かをする前に必ず情報を掴んでおく必要があります。

2番は、自分たちで判断する為に必要なテストケースです。たとえば、業務用の帳票を表示、印刷するという事であれば、「フォント」「経線」「外字」などがきちんと表示、印刷できるかどうかを確認するためのサンプルを常に用意しておくとか、そういう事です。

3番はどうやって修正版のソフトウエアを適用するかというその手段です。メーカが提供しているソフトウエアアップデータを使う場合もあれば、権限を制限しているため管理者が手動でインストールしなければならない事もあるでしょうし、SCCMのような製品を使って配付する事も可能でしょう。

この手の準備は大変ですが、最初に揃えてしまうと後は差分のみの管理になるため、そう手間をかけずにそれを維持する事ができるはずです。もしまだこういった情報を整理出来ていないという事であれば、必ず次に繋がると信じて、一度情報を整理してみる事をお勧めします。

次回もよろしくお願いします。

| | コメント (0) | トラックバック (0)

新しいOSに乗り換え時に気をつけたい事

毎週土曜日更新なのですが、昨日(2009.05.16)の更新が漏れました。単なる忘却です。申し訳ございませんでした。

さて、世の中ではWindows7の評価版が一般配布され、なんとなく話題になっていますね。個人的にはXPで十分という状況なのですが、さすがにXP搭載パソコンの入手が難しくなってきており、かつ、今後の流れを考えるとVistaと違ってWindows7は必須だろうと考えられます。そこで、評価版を入手して手持ちのパソコンに入れてみた所、非常にあっさり動いてしまって驚きました。インストールがここまで手間要らずになったのは歓迎すべき事なのですが、同時に、デフォルトの値がどれぐらい適切なのかという事が少し気になったりしました。

新しいOSの登場は社内ヘルプデスク泣かせです。個人的に使っているパソコンを自分で最新環境にするのは楽しい事かもしれませんが、業務で使う道具であるパソコンのOSを変更する事は、必ず業務に何らかの影響を与えてしまうからです。

最低でも考えなければならないのは、以下の4つです。

1.アプリケーションソフトウエアの動作保証
2.(ActiveDirectory等の)管理環境の変更
3.OS入れ替え作業
4.利用者教育

特に1番は重要で、市販品、オーダーメイド品共に、アプリケーションソフトウエアが「動く」という事と「動作保証されている」という事は大違いだという事です。せっかく保守契約を結んでいたととしても、動作保証外のOSで動かして発生した障害は保証されない場合も多々あるでしょう。それは、メイカーとしても、OSの機能を呼び出した時の返答が同じであるかどうか分からないため、その検証を行わなければ保証出来ないという都合があるからです。勿論、OSだけでなく、そこで動かしているJavaやデータベースへの接続ソフトウエアのような各種ソフトウエア全体が新しいOSで正常に動作する事が保証されていなければなりません。市販品をカスタマイズしているような場合では、市販品は新しいOSの対応版が出るとしても、カスタマイズ版を新しいOSに対応させるのは有償だったりしますので、さらに注意が必要です。

社内ヘルプデスクが新しいOSを導入する際、その視点には必ず「業務が正常に行える事を保証する」ということが必要です。新しいOSでは「先進的な技術」や「セキュリティの強化」が実現出来るかもしれませんが、それにより業務が止まってしまっては会社が存続出来ません。何に対して何処に保証してもらうかを見極めて、それにかかる費用と効果を天秤に乗せて新しいOSへの乗り換えを検討していきましょう。

次回もよろしくお願いします。

| | コメント (0) | トラックバック (0)

Microsoft社ではない会社のOffice製品に切り替えられるか?

Microsoft社ではない会社のOffice製品が脚光を浴びています。導入事例がニュースになるぐらいなのでまだそうは普及していないと思うのですが、価格が桁違いに安い、もしくは、無料という事もあるため、今後はもっと普及するのではないかと思います。現に、私も自宅で使っているパソコンの一部には、Microsoft社ではない会社のOffice製品を購入してインストールしています。

安いという事で導入を検討する場合、社内ヘルプデスクの視点で日々の運用を考えると、大きく4つの問題が考えられると思います。

1.使い方の情報収集
2.他社とのデータ交換
3.周辺ソフトとの連携
4.マクロ

1番についてはやはり、書籍にしろネットでの情報にしろ、Microsoft社とその他会社の製品では、圧倒的に得られる情報量が違います。ただ、これについては、一通りの操作を習得してしまいさえすれば、そう問題になる事ではないかもしれないと思います。

2番は圧倒的に「世の中的な標準」の強さです。取引先様に再利用を前提として「データで欲しい」と要求した場合、恐らく大変は何の確認もなくMicrosoft社製品のデータ形式で送付されて来るのではないでしょうか。そのまま開いて編集出来れば良いのですが、うまく開けない場合はそれなりの対処が必要になってしまいます。

3番についてはあまり意識する事はないかも知れませんが、そういう事もあるよという事は認識しておく必要があるでしょう。

実は、4番がいちばん大変なのではないかと個人的に思います。マクロを使って何かしていなければ一切関係ないと割り切ってしまえますが、少しでもマクロを使って何らかの処理をしている場合は、それをどうするかを考えなければなりません。私自身、なにかとVBAを使って提携的な処理をさせる事が多いので、これを他社製品に置き換えるとなるとかなりのハードルが予想されます。ましてや、自分自身の問題ではなく、利用者様に対してその代替え手段を提供しなければならないともなれば、かなりハードルが高くなるのではないでしょうか。

という事で、実にいい加減に書いてしまうと、1,2,3だけであれば何とかなるような気がします。しかし、実際に会社でMicrosoft社ではない会社のOfficeソフトウエアを導入しようとするのであれば、ソフトウエアのライセンス費用の節約と日常業務に及ぼす影響の金額換算をきちんと計算して天秤に乗せる必要があるでしょう。結局のところ、目先の節約でしわ寄せがくるのは利用者の皆様と社内ヘルプデスクだからです。

それでは、次回もよろしくお願いします。

| | コメント (0) | トラックバック (0)

パソコンに対する権限を制限する事について

実際のところ、これから社内ヘルプデスクを作ろうとされている組織で一番多い状態は、「オールアドミン」ではないでしょうか。全ての利用者がAdministrator(管理者)権限を有している状態で、言ってみれば何でもありの状態です。これは、社内ヘルプデスクとしては一番避けたのですが、一度その状態にしてしまう(なってしまっている)と、後から制限をかける事は非常に難しくなります。「何故今まで出来ていた事ができなくなるんだ?」という声が必ず出るからです。便利と管理は相反する要求ですからね。

パソコンは使い方を誤るととても危険な道具です。利用者が意図している、していないに関係なく、悪意を持ったプログラムが動作してしまう事により、とんでもない状況が発生してしまうなんて事はよくある事です。もし、利用者のスキルが高く、また、モラルも高い職場であれば、オールアドミンの方が業務を効率良く行う事が出来るでしょう。しかし、少しでもそうではない可能性が考えられるのであれば、社内ヘルプデスクとしては権限を一定レベルで制限する事を考えるべきです。

●ソフトウエアインストールを制限する
仕事場のパソコンに利用者自身が勝手にソフトウエアをインストールするという状況は、出来れば避けたいところです。何故なら、「ライセンス管理」「パソコンのコンディション維持」「悪意を持ったソフトウエア混入の防止」という側面での危険が伴うためです。そのため、一般の利用者はソフトウエアのインストールが出来ないよう制限してしまうのが良いでしょう。しかし、そうしてしまうと、「業務で必要だ」という理由であってもソフトウエアをインストールする事が出来なってしまいます。そのため、制限を掛ける際には、一定のルール制定と権限委譲が必要になります。規模が小さければ、社内ヘルプデスクが都度ソフトウエアのインストール対応を行っても良いでしょうし、そうでなければ、各部署の代表者に管理者権限を与えるという方法もあるでしょう。社内ヘルプデスクとしては、「不正なライセンスではなく」「パソコンのコンディションを悪くせず」「悪意を持ったソフトウエアではない」ものであり、それが業務効率を向上させ会社の利益に貢献するのであれば、それを断る理由はない、という発想で対応に挑むと良いでしょう。

●ネットワーク設定を制限する
会社のネットワークは厳格に管理する必要があります。ネットワーク利用のポリシーや具体的な接続ルールは専門家であるネットワーク管理者が制定し、社内ヘルプデスクはそれに準拠するというやり方が理想です。そのため、パソコンの利用者はネットワーク設定を変更できないようにするのが良いでしょう。ネットワークへの接続については、Macアドレスによる制限や、色々な認証技術が存在しているため、それらとパソコンの設定を組み合わせて使うのが良いでしょう。

●ファイルのアクセスを制限する
「マイドキュメント」フォルダへのアクセスは、各ユーザのみが行える様に制限するのが良いでしょう。会社の情報は隠す必要がない、という発想もあるにはある(私も実はその発想が色濃い部分があるのですが)のですが、やはり、組織となると色々な情報があるため、「ここに置けば他の人からは見れない」という場所を確保しておく事が大切です。そしてその場所については、社内ヘルプデスクであっても容易にアクセスする事が出来なくしておく事も、無用な誤解を招かないようにするためには必要になるでしょう。

少しだけ書いてみましたが、最初に書いたとおり、後から制限をかける事は非常に難しいです。そのため、何らかの機会(たとえば、OSを入れ替えるとか、パソコンを入れ替えるとか。)をうまく利用して制限をかけると共に、制限をかけなければならない理由を全社的な合意にしてしまうような動きも出来ればなお良いでしょう。そのあたりの動き方については、セキュリティやリスク管理という話になりますので、また別の機会に紹介したいと思います。

次回は少し気持ちを切り替えて、プリンタと複合機について書いてみたいと思います。よろしくお願いします。

| | コメント (0) | トラックバック (0)

脆弱性パッチやソフトのアップデート管理をどうするか

OSを含むパソコンのソフトウエアは、「脆弱性」なんて呼ばれる困った症状を抱えているものが多いです。これは「バグ」や「仕様定義ミス」と言ってしまえばそうかもしれませんが、これだけ仕組みが複雑になってしまっていたり、社会が要求するレベルが上がってしまったりするため、価格と要求を満たすためのバランスを考えれば仕方ないという側面があるという事も理解しなければならない状況です。そして、残念ながら世の中にはそれを悪用する輩がいるため、社内ヘルプデスクとしては、どうしても脆弱性パッチをインストールするという対応しなければならない状況になってしまいます。

●利用者自身にインストールを依頼する方法
ソフトウエアのインストールを利用者自身にやってもらうという選択肢もあるでしょう。利用者がパソコンに対してある程度の知識を持ち、インストール操作に対する権限が付与されていれば、作業は誰がやっても結果は同じです。社内ヘルプデスクとしては、手順と必要なファイルを配布する事(WindowsUpdateを利用するならその案内)と、各利用者から結果を回収する仕掛けを作るのみで対応する事が可能です。ただし、本当にきちんとそれらの変更が反映されているかどうかの確認や、インストール作業中の障害対応等、利用者自身が行うことによる弊害も把握しておかなければなりません。

●社内ヘルプデスク自身が作業する方法
初期投資が一番抑えられるのがこの方法かもしれません。1台ずつ確実に処理できるという利点がありますが、台数と作業時間が比例するという問題もあります。また、利用者との作業時間調整も必要になるでしょう。

●何らかのツールを使って行う方法
Microsoft社の「System Center Configuration Manager(旧製品名 Systems Management Server)」という製品を用いれば、ネットワークを用いてソフトウエア(Microsoft社製品に限らない)のインストールや管理を行うことが可能です。類似した他社製品も多くありますし、Windowsのドメインを構築していれば、「ログオンスクリプト」を用いてソフトウエアを配布する事も難しくはないでしょう。導入時や運用に対してかなり費用が発生します(ログオンスクリプトの場合は自作の工数)が、これらのツールを用いれば社内ヘルプデスクとしての作業や管理が軽減されるでしょう。ただし、これらのツールを使う場合は、過信しないように気をつけなければなりません。具体的には、配布漏れが発生していないかの確認やその対処が必ず必要になる、という事です。

脆弱性対策のパッチを1つ1つのインストールする事は、そう難しい事ではないでしょう。実のところ、ここで一番厄介なのは、これらのアップデートをどう管理するかという問題です。社内で稼働させているパソコンに対し、どれに何をしてどうなっているのかという情報管理が大変なのです。

そこで少しでも管理の手間を軽減したいと考えた場合に有効なのはやはり、「全て同じにする」という発想が大切です。組み合わせが増えればそれだけ管理が大変になります。たとえば、AとBという脆弱性パッチをインストールしなければならない状況が発生した場合、如何にして早く全てのパソコンにAとBをインストールするかを考えて実行するのです。そうしないと、Cという脆弱性パッチが新たに登場した時に、「AとBが入っているもの」「AとBが入っていないもの」が混在してしまうと、Cを配布する場合にそれらに対して分岐を考えなければならなくなるからです。それが複数段階になってしまうと、もう手に負えなくなります。

脆弱性パッチやソフトのアップデート管理については、規模や予算により最適な方法を選び、かつ、脆弱性パッチは「全台一斉配布を常に完了させる」という流れを組み立てるのが結果的に一番簡単、かつ、確実に対策が取れる事になります。

次回は権限を制限する事について書いてみます。よろしくお願いします。

| | コメント (0) | トラックバック (0)

一括セットアップする容易な方法「ハードディスクコピー」時の注意点

パソコンをセットアップするのは大変手間がかかる作業です。OSのインストール、ソフトウエアのインストール、ネットワークの設定、なんちゃら、かんちゃら、、、と、本当に大変です。

世の中の大勢の人が大変な思いをしているという事で、それに対する解決策は幾つも存在しています。一番簡単で確実なのは、同じパタンのパソコンに対して、セットアップした1台の状態のハードディスクをコピーする、という事でしょう。

ハードディスクの中身をコピーするだけであれば、フリーのソフトも多数存在しています。それぞれのソフトについての紹介は別の機会に行うとして、今回はコピーする際の注意点を紹介しておきます。Windowsでのお話です。

●手動で変更できないSIDという重要な項目がある
ハードディスクの中身をコピーする際に注意しなければならないのは、「全く同じになってしまっては困る項目がある」という事です。ネットワーク接続しなければさして問題にはならないのですが、今現在、ネットワークに接続しないで使うという用途は殆どないでしょうから、この項目の変更は必須と言えます。

容易に想像できるのは、コンピュータ名やIPアドレスです。しかし、そうではなく、実は、Windowsでは表面上見えないSID(SecurityID)と呼ばれている項目を使って、パソコンを識別している場合があるのです。ハードディスクコピーにより同じSIDを持ったパソコンがネットワーク接続 されてしまうと、それらのパソコンが意図せずドメインから外れてしまうとか、管理情報がおかしくなってしまうとか、そういう障害が発生してしまいます。それを防止するため、ハードディスクコピーを行ってセットアップを簡易化する際には、必ずSIDが初期化されるようにしなければなりません。

●sysprepを使ってSIDを初期化する
SIDを初期化するには、Windowsに付属している「sysprep」というツールを用います。使い方は簡単で、あらかじめ1台のパソコンをセットアップした状態で「sysprep」を実行する事で、そのパソコンのハードディスクがコピー元のオリジナルに変更されます。それを必要なパソコンにコピーした後、各パソコンを起動すると、Windowsの主要な設定部分のみ、新規でセットアップしたかのような状況でセットアップする事が可能になるのです。

詳細な使い方については、@ITのサイトが参考になるでしょう。

■@IT「sysprepで環境複製用のマスタ・イメージを作成する」
http://www.atmarkit.co.jp/fwin2k/win2ktips/553sysprep/sysprep.html

次回は、脆弱性対策のパッチ適用について紹介したいと思います。よろしくお願いします。

| | コメント (0) | トラックバック (0)