サーバー、ネットワーク、パソコンの構築と保守

パソコンやその他の機器の予算を毎年考えていますか。
続きを読む

ファイルサーバーの残り容量が足りなくなって動作がおかしくなった。
と、いう相談を受けました。続きを読む

どんな電化製品でも最低は1年間のメーカー保証が付いてきます。
2000円程度の扇風機にだってついています。
さらに、販売店にいくらか支払うことで別途の保証を付ける
場合もありますね。続きを読む

サーバーやパソコンのお手入れがメンテナンスです。
身も蓋もない言い方過ぎますね。
詳しく見てみましょう。続きを読む

トラブル解決において、機器の構成や役割といった情報はかなり
重要です。続きを読む

「PCのトラブルもおこっていない」「サーバーも何もない」、
「時々ネットワークが重たいけれど、まぁ大丈夫でしょ！」
本当に大丈夫でしょうか？
続きを読む

サーバーの中身といっても基本的にはPCとかわりません。
ですが、サーバーとしての使命「止まらない、データを失わない」
を果たすべく特殊なデバイスも入っています。続きを読む

「お願いです。サーバーを安くできませんか？高いです！」
サーバーの値段を見て飛び上がらんばかりに驚く方は
たくさんおられます。

サーバーの値段の内訳を見てみましょう。続きを読む

ウイルス、マルウェア、ルートキット、ワーム、ボット、フィッシング。
ウイルスについてはみなさんご存じの「コンピュータウイルス」です。
その他の言葉も内容は分からないけれどもパソコンに悪さをするヤツと
いう認識はあると思います。続きを読む

「Xen」「VMware」「Hyper-V」などの仮想化技術の発展で
「仮想化でコスト削減を削減」などという宣伝も増えています。続きを読む

ネットワークと一口に言っても、人それぞれ違う物を指していたりするものですが、今回から社内環境に目を向けた内容で、ありがちな事を少しずつ記事にしていきます。

今回はまず社内でのLAN配線に関してです。

ありがちなこと
　・ルータやHUBといった機械が何処にあるか分からない
　・LANケーブルが机の裏でぐちゃぐちゃに絡まっている
　・どのLANケーブルがどこに接続されているか分からない
色々なオフィスでよく見かけることです。
心当たりがある方もいらっしゃるのではないでしょうか？

よく聞く原因として
　・パソコンが増える度にLANケーブルを差した
　・何度か席移動を行ううちになってしまった
　・保守管理の業者に任せているから分からない

実際のところインターネットが接続でき、問題なく業務が行えているうちは、特に改善しようと思わないはずです。
しかし、いざ問題が起こった時に困ることになります。

例えば
　１．全員インターネットやメールは使えないが、共有サーバは利用できる
　２．特定の人達だけ、インターネット、メール、サーバが利用できない
　３．一人だけ、インターネット、メール、サーバが利用できない

１〜３に関してそれぞれ読んだだけで問題になりそうな箇所がそれなりの知識がある方は思い浮かぶと思います。
１．ルータ，２．HUB，LANケーブル，３．LANケーブル
といった具合です。
※IPアドレスや、ソフトといったことも考えられますが今回は省きます。
これらの問題が発生した場合には、どのようなことをしておけば良いのでしょうか？

基本として心がけることは、ルータやHUBの位置を把握しておき、LANケーブルにタグを付けることです。
そしてもっとも重要なことは「面倒くさい」と思わないことです。
レイアウトを変更すると、LANケーブルは使い回しをするでしょうが、その都度タグを変更することです。
そして、その場しのぎのLAN配線をやめ、後でも分かるように這わせましょう。

次回はこのよくある配線状況でどのような問題が発生しやすいかを記載します。

WindowsXP、特にhomeEditionを多く使用されている会社さんでよく見かけるのですが、事務所内にあるプリンター数をはるかに上回る数のプリンターが、登録されているPC。
みなさんのPCは大丈夫ですか？

原因はXPでプリンタ共有が楽にできるようになった機能なのですが、多くのPCがある環境では、結構いろいろと面倒を起こします。

ネットワークプリンターに対して、直接IPを指定したAさんのPCがあったとします。
Aさんがプリンターの共有を許可すると、同じネットワーク上のXPでは、Aさんのプリンターが「プリンターとFAX」の画面に出現します。

このプリンターをBさんが指定して印刷すると、AさんのPCを経由して、プリンターから印刷されます。
プリンターの設定などの手間が省けて便利な機能ですが、実は問題もあります。

上の例で、Aさんの共有プリンターを使っているBさんのプリンターがさらに公開されて、Cさんがそれを使用すると、Cさんが印刷するときは、CさんのPC、BさんのPC、AさんのPCを経由してプリンターに情報が流れます。

かなり回り道しているので、ネットワーク帯域も、PCの負荷も無駄にかかりますし、経由しているPCの電源が切れていると、障害も起こります。

さらに、Cさんの指定しているプリンター名は「BさんのPC名+AさんのPC名+プリンター名」となりやたら長いものになります。
実はあまりに長いプリンター名だと、一部のソフトでは動作に影響したりする場合もあります。

無駄のないネットワークプリンターの共有を行うようにしましょう。

　事務所の片隅にホコリをかぶって置かれているサーバーはありませんか？

　「昔、どこかの業者が納入したんだけど正体が分からない」
　「常に電源を入れて置くようにいわれてるんだけど、何だろう？」続きを読む

今まで社内サーバーの導入を中心に書いてきましたが、提供するサービスによっては外部に委託した方が良いものもあります。
たとえば会社のホームページ用ウェブサーバーや、業務用のメールサーバーなどです。業務に直結するようなサービスは、停止すると会社の信用問題となります。

その様なときはホスティングサービスを利用しましょう。ホスティングはレンタルサーバーとも言われ、月額料金を支払いウェブサービスやメールサービスの機能をレンタルすることが出来ます。サーバーのレンタルの他に大抵独自ドメインの取得代行をやっているので、ドメインを取得していない場合は同時に依頼すると手続きやドメイン設定が円滑に済みます。

続きを読む

これを読んでくれている方々の中には、一般のデスクトップパソコンを簡易ファイルサーバーなどにして運用していることがあるかもしれません。
では普通のパソコンにサーバーの役割は担えるのか？という疑問が湧いてきます。正直にいうと、小規模の環境であればそれなりの設定をすれば“機能としてはそれなりに”動きます。
ただ以下の不安があります。

続きを読む

ネットワークが無事構築出来て複数台のパソコンが繋がると、自然とファイルの共有やプリンタの共有などの要望があがります。
そこで、「じゃあサーバーを導入しよう！」となるわけですが、サーバーにもいろいろあってどれを買って良いのか選択が難しいです。設置タイプがラックマウントやタワー型、Windowsサーバーにしてもいろいろなエディションがあります。また、最近のサーバーはオンラインで注文できるのでどのようにBTOして良いのかで悩みます。

※BTOとは： Build to Orderのことでメーカーによって決められた構成ではなく、購入者側である程度構成をカスタマイズ出来る購入システム。メーカーはその構成を元に生産し納品する。Apple社などはCTO(Configure To Order)という。

今後いろいろなサーバー用途について紹介する予定なので、それぞれの用途についてオススメのBTO構成をご紹介しますので参考にしてください。続きを読む

　4日後に新OSがリリースされます。LeopardことMacOS10.5への移行を考えられている皆さんも多いかと思います。そこで今回は新OSへの乗り換えについて考えてみます。続きを読む

　どんなに新しいMacも丁寧に使っているMacも壊れるときには壊れます。壊れてもかなわないものは壊れないのに、壊れたら絶対に困るものはなぜか壊れてしまうという法則も存在しているかのようにすら感じられることがあります。

　Macの故障に備えてAppleCare Protection Planを購入しましょう。続きを読む

　前回、ネットワークホームディレクトリーのお話をしましたがここでネットワーク環境の整備について考えてみます。この2つは不可分な関係です。なぜならば、ユーザーのファイルはサーバーにあるのですからそのやり取りはネットワークを経由しているからです。従って、ネットワークが不安定になるとMacの動作にも影響が現れます。

　ネットワークが不安定になる要因として最も大きいものは帯域の不足でパケットの再送が多くなり伝送速度が遅くなるという現象でしょう。確かに、HUBが全面的にリピーターからスイッチングに変わったことやギガバイトのLAN環境がそれほど高価でなくなったことからネットワークの帯域は以前よりも格段に向上しています。とはいっても、その帯域を使うアプリケーションも増えてきていることもまた事実なのです。P2Pでファイル交換をされて社内ネットワークのレスポンスが鈍くなったという事例はまさにこの典型例でしょう。続きを読む

　ここ数回にわたってちょっとMacの技術よりもサーバー管理一般のお話になってしまったのでMacのお話に戻ります。　

　一般に各ユーザーのデータはユーザーの手元にあるMacに収納されています。ネットワークホームとはユーザーのホームディレクトリーをサーバー上に保持する仕組みです。続きを読む

　近年では難しい設定を施さなくても高度な機能を持ったバックアップツールが販売（もちろんrsyncというフリーのツールもあります）されておりバックアップそのものは敷居が低くなっています。簡単であるだけに落とし穴も、、、。
続きを読む

　今回はアクセス権の細かい設定に入ります。LDAP環境があることを前提とします。

　アクセス権の設定の基本は「ユーザーの使用の実態」にセキュリティー上問題がない限り合わせるということです。前回のStepでおおまかに「どの部署が、誰が」使っているのかという観点で振り分けを行いました。その振り分けにしたがって、アクセス権を設定していきます。アクセス権の設定を行い始めると必ずユーザーから「○○にアクセスできなくて困る」とか「××のフォルダを開けなくなった」という情報が上がってきます。そのたびに訂正を行います。部署をまたがって業務を行う人が多いほどにこのような問題が頻発します。システム管理者にとってはわずらわしいかもしれませんが避けられない作業です。

続きを読む

　LDAPでファイルサーバーのアクセス権を制御するまえに、共有されているディレクトリーの構造を見直す必要があります。フォルダがルールなしで乱立していることはよくあります。時には出所の怪しい業務に関係のないファイルがあることも、、。このままでは細かいアクセス権の設定はできませんし運用上も問題があります。

　さしあたっては分別のルールを設定して、フォルダと内包しているファイルを整理していく作業が必要です。「どの部署が、誰が使っているのか」でおおまかでもかまいませんので振り分けます。この作業をすることによってフォルダの乱立を防ぐとともにアクセス権設定の下準備ができます。また、分別中に誤ってファイルを削除してしまったり行方不明になったりしても大丈夫なようにバックアップをとることを強くお薦めします。

　いくらファイルサーバーが大きなものであっても何でもかんでもホスティングしたのではすぐに容量オーバーになってしまいます。重要度ごとに保存期間を設定したほうがいいでしょう。ファイルサーバーの運用ルールはLDAPがあろうと無かろうと作っておいて損はありません。

　細かなアクセス権の設定については次回お話します。



　　

　
　続きを読む

ファイルサーバーがあることが会社の規模を問わずに当たり前になっています。しかし、ファイルの共有は潜在的に大きな情報漏洩や改竄のリスクを持っていることを忘れてはなりません。「パスワードがかかっているから大丈夫だよ」と思って安心しているととんでもないことになります。


続きを読む

Windows環境：

・サーバー定期メンテナンス
・クライアント定期メンテナンス
・常駐メンテナンス (Windows約500台)
・サーバーリモートメンテナンス
・企業向けウイルス対策ソフト
・サイボウズサーバー
・ウェブサーバー
・ドメインコントローラー
・ファイルサーバー、プリントサーバー
・中規模ネットワーク (10セグメント程度)
・小規模無線LANネットワーク


MacOS環境：

・サーバー定期メンテナンス
・クライアント定期メンテナンス
・サーバーリモートメンテナンス
・ウェブサーバー
・LDAP認証サーバー(ネットワークホーム)
・ファイルサーバ
・ログ監査レポート


その他：

・スポットメンテナンス

最終更新：2007/9/25

Windows Server：

・FileMakerデータベースサーバー
・Webサーバー
・DNSサーバー
・ドメインコントローラー
・グループウェアシステム (サイボウズ)
・リモートアクセスゲートウェイサーバー (PPTP-VPN)
・ファイルサーバー
・プリントサーバー
・ウイルスバスターコーポレートエディション管理サーバー
・社内セキュリティ プロキシサーバー


MacOS X Server：

・FileMakerデータベースサーバー
・Webサーバー
・DNSサーバー
・Mailサーバー
・FTPサーバー
・QuickTimeストリーミングサーバー
・LDAP認証システム
・ネットワークホーム環境構築
・ファイルサーバー
・社内セキュリティ プロキシサーバー


Network：

・小規模無線LANネットワーク
・中規模ネットワーク構築
・拠点間ネットワーク接続 (IPSec-VPN)
・リモートアクセスネットワーク (PPTP-VPN)
・インテリジェントスイッチ (レイヤー2、レイヤー3)
・ドメイン登録、SSL証明書取得、DNS設定代行

最終更新：2007/9/25

　どのような環境でMacを使う場合でも必ずパスワードを設定し、定期的にパスワードを変更することはセキュリティーの上で非常に重要なことです。特に、「定期的に変更すること」を忘れるべきではありません。

　もちろん長い文字数で「大文字、小文字、数字」を組み合わせたパスワードを用いることはセキュリティーの観点から非常に有効です。しかし、どんなに複雑なパスワードを二重にも三重にも設定しても、変更することなく使用を続ければ他人に知られてしまう可能性は高くなります。一旦、パスワードが抜き出されたならあとは悪意のあるユーザーのしたい放題を許してしまいます。最悪なことに、パスワードはいつまでたっても変更されないのでいつまでもデータを持ち出せてしまうのです。

　それだけではありません。管理者以外の権限であっても不正アクセスを許すことで最終的にはコンピュータを乗っ取られるという結果を招きかねないのです。なぜならクラッカーは大抵の場合はじめから管理者権限を手に入れて本丸に攻め込むようなことはなく、一般ユーザーとして入り込み、不正なツールや脆弱性を利用して管理者権限を奪取するからです。ですから、どのようなアカウントのパスワードであっても漏洩させてはいけないのです。とはいえ他人に漏れない保障はありません、だからこそ定期的に変更することが重要なのです。

パソコンが数台あるような環境で、まず最初に取りかかるのはネットワークの構築です。
最近はブロードバンドが普及したこともあり、インターネットに繋がらないと仕事にならないことが多くなりました。調べ物をしたり、メールを受信したりと必要不可欠ですよね。

そこでまず手っ取り早くて安価に、と言うことで有線LANの環境を整えるのが普通かと思います。
でも組織というものは生き物のように変動します。組織変更や人事異動、はたまたレイアウト変更など･･･。時にはネットワークの配線を一部変更しないといけない、なんてことがよく起こります。

続きを読む

　Mac OS X Serverを一言で言うならば「ユーザーとMac本体の管理ツール」です。この機能はLDAPという技術に支えられています。

　先ほどプリンタの追加を引き合いにしましたので、X Serverによるプリンタ管理について説明します。プリンタのドライバを一台ごとにセットしていくという方法をX Serverでは用いません。X ServerそのものがプリンタサーバーでありユーザーのMacに「プリントアウトはX Serverに任せろ」という命令を発します。ユーザーのMacは全てプリントアウトを各自で行うのではなくX Serverを介して行うということです。

　さらに便利なことは、プリンタを特定ユーザーに使わせないようにすることも特定のプリンタのみを許可することもできます。なぜでしょうか？冒頭で述べたようにX Serverは「ユーザーとMac本体の管理ツール」なのですから「どのユーザーが」プリントアウトの要求を出しているのか、ということを常に監視して誰が何を出力したのか記録されるのです。記録のことをログといいます。Pマークの取得をする際にはこのようなログの取得や一定期間の保存が要求されます。もちろん、Pマークの取得をしないとしても情報漏えいへの備えとしてログの取得は是非とも検討すべきでしょう。

　他のMacを手元で操作するソフトがARD（Aplle Remote Desktop）です。ネットワークを介してあたかも自分の手元にあるような感覚で操作ができます。わざわざ操作したいMacのところまで出向く手間がないのですからシステム管理者としてはうれしい限りです。

　ARDの機能はこれだけではありません。マシンのスペックをレポートとして引き出すこともできます。「あのマシンはOSのバージョンは何だったかな？」「メモリはどれくらい積んでいたかな？」というときにユーザーに調べてもらう必要はありません。資産管理のツールとしても使えます。他にもアプリケーションのインストール機能やUNIXのコマンドを遠隔操作することもできます。

　ARDは有料ソフトウェアですが無制限ユーザー管理版が￥57000という価格とシステム管理者がいちいちユーザーのところへ出向く手間と時間を考えるとかなりお得な選択ではないでしょうか？

前のMissionでMacはユーザーが勝手に変更できなくなりました。
ですが、このことは「システム管理者が忙しくなる」ということを意味します。なぜでしょうか？今まで、ユーザーは勝手に「プリンタを追加」したり「ソフトをインストール」したりしていました。しかし、今やそれらの勝手はできなくなりシステム管理者に全て依頼されるのです。新しくプリンタを設置した場合、全てのMacにドライバを追加して回らなければなりません。アプリケーションも同様です。

確かに、数台しかMacがない会社であるなら対応できるかもしれません。でも、10台20台と増えていくとどうなるでしょう？1台あたり作業時間が15分として20台で5時間かかります。勤務時間の半分以上が作業で費やされるだけではなく、単純作業の繰り返しで気持ちも萎えてしまいます。でも、ユーザーの要望に応えなければ「仕事にならない。前に戻してくれ！」とあちこちで突き上げられることは目に見えています。長い時間を費やして1台1台に設定したものを次の日に「やっぱり、変えよう」などと言われたら悲惨です。

問題の本質は1台ごとに個別に作業が必要だということです。ならば、1台ごとではなくまとめて一元的に作業や管理ができれば問題は解決しますよね。

MacではMac OS X Server（以下、X Server）が一元的に管理ができる環境を提供してくれます

Macでもシステム管理の第一歩はユーザーから管理者権限を奪うことから始まります。
管理者権限がユーザーにある限り、ユーザーは自分勝手に設定を変更したりアプリケーションをインストールしたり勝手放題できてしまいます。このような状態ではシステム管理は不可能と言わざるをえません。

では、どうしたらいいのでしょうか？一般ユーザーに管理者権限でログインさせないのです。

Macのユーザーアカウントには「管理者」「通常」「制限付き」と3種類あります。これはWindowsの「Administrator」「PowerUser」「User」に当たります。一般ユーザーのアカウントを「制限付き」にすることでユーザーによる勝手放題はできなくなります。また、Macでは「制限付き」の制限内容をアカウントごとに設定（例えば、任意のアプリケーションを使用させないとかCDやDVDの作成を禁止するなど）できるという利点があります。

これでMacはシステム管理者を介さずに変更することができなくなりました。

ウィニーで児童の個人情報流出、男性教諭が自殺　千葉

2007年06月08日12時22分

　千葉県市原市教委は８日、市立小学校の男性教諭（３４）所有パソコンから同市内の２小学校の児童計２６９人分の個人情報が、ファイル交換ソフト「ウィニー」を通じてインターネットに流出したと発表した。市教委によると、この男性教諭は５日に自殺したという。

　同市教委の説明では、流出したのは男性教諭が０１〜０６年度に勤務していた２小学校の児童の名前と電話番号、成績など。１日に「（ネット上の掲示板に）生徒の名簿や成績がある」との通報が市教委にあった。市教委が男性教諭に確認をしたところ、パソコンに児童の情報を保存し、 ウィニーを使用していたことを認め、「責任を感じている」と話したという。

　千葉市中央区の教諭の自宅を訪ねた両親が６日早朝、首をつっているのを見つけたという。

http://www.asahi.com/national/update/0608/TKY200706080265.html　　（asahi.comより抜粋）

****************************************************

「とうとうこういう事件が起きてしまったのか」
というのがこのニュースを見たときの感想です。

予算や情報の不足により、企業や団体の情報セキュリティのレベルは低いままです。
対策に予算をかけている企業や団体も間違った対策を取っていて、効果は期待薄。
そんな状況のなか次々に起こる流出事故。
そして、流出事件の報道においては、情報セキュリティ対策を十分に採っていない企業や団体の責任は追及せずに、特定の個人を攻撃する。

そんな状況であったので、いつか起きるとは思っていました。

なぜ自殺にまで至ったのか、その経緯は誰にも分からないでしょうが、いくつかの報道を見る限り、この男性教諭の不注意によるものとする記事が大半です。しかし、それは間違っていると思うのです。私から言わせれば小学校、あるいは市原市の責任が追及されるべき事件であると思うのです。

この事件の発生した原因は教諭の「パソコンにウィニーが入っていた」ことではなくて、
「学校が管理すべき、流出してはいけない情報が、個人所有のパソコンに保存されていた」ことが、原因だと思うのです。そしてその責任の半分以上は学校にあると思うのです。
個人所有のパソコンの持込は禁止すべきですし、まして、個人所有のパソコン上で生徒の情報を扱うことなど絶対に禁止です。
禁止するだけでなく、指導と取締りをして遵守させるのは組織の責任ですから、事件における学校の責任はとても大きいです。
仮に支給品のパソコンで業務をしていて、データを持ち帰ったとしたら、やはりそんなことが可能な状態にしている学校の責任です。
たまたま、流出の原因がwinnyだったために論点がずれていますが、盗難だったらどうなのでしょう？
確かにwinnyを入れたパソコンで生徒の情報を扱っていたということに責任がないわけではありません。

個人情報保護法では、情報を保護する義務と責任は、企業や団体にあるのです。
方針を固め、指導し、対策を立てるという義務を怠っている団体が個人の責任を強調し、団体の責任者が追及されないようでは、今後もこのような事件はなくならないでしょう。

組織としての取組み、報道のあり方など少しでもよくなってほしいものです。もちろん私もそのお手伝いができたらとも思うニュースでした

　【標準仕様　価格表】

続きを読む

PマークやISOの取得で必ず必要になるのがログ管理です。

ログを取るという作業は、たとえば、
・システムがいつ起動し、
・誰がどのデータにアクセスし、あるいはデータを更新・削除し、
・バックアップが成功し、
・誰がどの帳票を印刷し・・・、
といったシステム上で起きた出来事を「把握」し「保管」することです。
広い意味ではシステムを管理するということと、ほぼ同義です。

しかし、実作業としてはそんなに楽ではありません。

 

続きを読む

企業の事務所に書棚があるように、コンピュータネットワーク内にも、書類データなどの保存と情報共有のためのスペースが必要です。

それがファイルサーバーです。

企業内におけるファイルサーバーは、その業務体制に合わせてセキュアなものでなければなりません。何も考えずにファイルサーバーを構築すると、機密情報が筒抜けになるような事態に陥ります。

たとえば、現実にある書棚、鍵のない書棚もあれば、鍵のかかる書棚もあります。
その鍵を持っている社員もその書棚に納められている情報にの種類によって、適切な立場の社員が管理しているはずですね。

ファイルサーバ上でも、同様の状態にしてあげる必要があります。

たとえば、特定のフォルダは人事部しか見れないとか、役員しか見れないといったようにアクセス権の設定を行うわけです。

ここで、生きてくるのが、Mission3の「1人＝1アカウント」と、Mission5の「ユーザーグループ」です。

以下に一般的な企業におけるファイルサーバーのフォルダ構成の一例を紹介します。

 

続きを読む

ドメイン（Domain）とは組織体のことです。 例えば会社とか部署とかがそれにあたります。 コンピュータネットワーク上の一つの管理単位がDomainになります

続きを読む

ドメインコントローラー（Domain Controller）とは、Windowsのネットワークのドメインを管理するサーバーのことです。

続きを読む

結構、深刻な問題になってきています、業務中のweb browsing。

後々理想のシステム管理でも詳しく記述しますが、会社内のユーザーに対して、見ることができないサイトを設定することは重要な作業です。

mixiなどのSNSやyahooや楽天などのオークションさいとなんかは露骨に業務怠慢になりますが、それだけでなく、GMailなどのwebメールやネット上のストレージなどを使って機密情報を持ち出したり、という危険性もあります。

また、アダルトサイトを閲覧してウィルスを社内に持ち込んだりということもあります。

会社としては制御をかけたいところです。

windows環境であればISAServerでUserごとにWEBサイトの制限をかけることできます。

例えば、役員はアダルトサイト以外は全て見れて、

社員はアダルトサイトとMIXIなどのSNSやAuctionサイト、webMailなどは禁止、

アルバイトはweb禁止なんてこともできます。

安全性と業務効率アップをお考えなら、webの制限は検討したほうがよいかもしれません。

ご相談はこちらへ

Mission3でユーザー1人に1アカウントを配布して、 アカウントによる個人の特定を確立させましたが、長い運用の中で、必ずと言っていいほど、ルールを破ってしまう人がでてきます。
よくいるのが、直属の部下に自分の代わりをさせてしまう管理職の方ですね。

さて、このような現象を定期的に排除するために、パスワードルールを決めます。

パスワードのルールにで決められることはいくつかありますが、主なものは以下の通りです。

1.パスワードの長さ
　・パスワードは○○文字以上かを設定する

2.パスワードの複雑さ
　・パスワード内に、大文字・小文字・数字・記号のうち3種類以上を使用するかどうかを設定する

3.パスワードの有効期限
　・○○日以上同じパスワードを使用していると変更するように促すように設定する

4.パスワードのロックアウト期間
　・3番の変更依頼メッセージを○○日以上無視すると本当にアカウントを無効にするかどうか設定する

5.パスワードの履歴を記録する
　・以前使用したパスワードをもう一度使用できるようになるまで○○回かを設定する

6.パスワードの変更禁止期間
　・パスワードを変更してから次に変更できるまで○○日間経過しなければできないように設定する

7.パスワード間違いのロックアウト
　・1回のログインで○○回パスワードを間違うと、アカウントを△△分間、無効にするように設定する

たとえば、有効期間を30日、履歴を24ヶ月記録とした場合、一月に1回はパスワードを変更して、 過去二年以内に使用したパスワードは使用できないことになります（厳密には表現に誤差がありますが分かりやすく表現しました）
そのような設定であれば、パスワードが更新により、1人１アカウントの状態が保たれ、またセキュリティ上の安全も図られます。

さて、大体の準備が整ったところで、本格的な管理・制御に入っていきます。

制御にはDomainSecurityPolicy（ドメインセキュリティポリシー）を使って制御していきます。
これは、DomainController上で社内のシステム運用についてルールを作る作業になります。
PC上で一台一台設定できることなら、DomainPolicyの設定しだいでは、何十台、何百台ものPCに同時に設定することも可能です。
正確にはPolicyは各PCのwindowsの起動時に適用されますから、同時ではないのですが、それでも、格段に管理の手間は省けます。

今回は、最近問題になっているUSBメモリーをDomain内のPCで使用できなくすることにします。

USBメモリは、PCのUSBポートに挿したときにマスストレージとして認識し、 マスストレージのドライバを呼び出しに行くわけですが、そのドライバに対するアクセス権を制御することで、 USBメモリを使用できなくします。
マスストレージを使用禁止にしてしまうので、USBメモリだけでなくwindows上でマスストレージと認識するものは、 外付けHDDやSDカードも使用できなくなります。
さらに、メモリーカードリーダーなどのデバイスも同様に禁止します。

この設定をDomainSecurityPolicyで設定していくわけですが、適用範囲も同時に設定することになります。
つまり、Domain内の全てのPCに適用することもできますが、特定のユーザーやユーザーグループにだけ適用・除外することもできます。
実際の場面では、上級管理職やシステム管理者以外はUSBメモリーを使用できなくするということになるでしょう。

個人情報や機密情報の流出において、そのルートとなるのが、インターネット、USBメモリやCD-ROM外付けHDDなどの記憶媒体、そして印刷物です。

ですから情報セキュリティの観点からも、システム管理者としては、社内のプリンターは管理下に置く必要があります。
ネットワークプリンターは自らサーバ機能を持った機器も多いので、通常は各PCにドライバーをインストールして、LAN上でPCとプリンターで直接やり取りさせますが、これでは誰がどんな情報を印刷したのか、管理者にはわかりませんので、プリンターサーバーが必要になります。
また、後述しますが、印刷の必要ないユーザグループなどには印刷できないように制御したい場合も、同様にプリンターサーバーが必要になります。

各ユーザーのPCは、印刷の要求をまずプリンターサーバーに送信して、プリンタサーバが印刷ジョブをプリンターに送信します。
この時に全ユーザの印刷ジョブがプリンターサーバーを経由しますので、プリンターサーバーでログを収集することができます。
また、印刷をさせたくないユーザーはプリンタサーバーに拒否するように設定すれば、そのアカウントでは印刷できなくなります。

プリンターサーバーを経由しないで印刷する行為を防ぐには、Mission1で済ませていますが、ユーザーがPCに対する管理者権限を持たせないことです。管理者権限がなければプリンタードライバーをインストールできないので、印刷できません。

さらに堅牢に防ぐ場合は、プリンターをLANに接続させずに、USBケーブルやパラレルケーブルでプリンタサーバーに接続させます。この状態の接続であれば、必ずプリンターサーバを経由しないでの印刷は物理的に不可能ですので、かならずプリンターサーバを経由します。

個人情報や機密情報を多く扱うのであれば、こちらの方法がよいと思います。

1ユーザー1アカウントの作業まで完了したら、今度は各ユーザーの権限設定に入っていくわけですが、その前に・・・。

現実世界の会社でもそうですが、同じ階級や同じチームの人は、社内での権限が同じだったりしますよね。
例えば、営業部の主任が10人いたとして、10人とも同じ仕事上の権限を持っていたりします。
同様に係長が5人いたとして、主任とは違う権限ではありますが、課長同士5人は同じ権限だったりします。
一方、営業部と人事部では同じ係長でも仕事の権限も、扱う書類も違ってきます。

つまり、会社内での権限は個人に付いているのではなく、部署と階級から構成されるポストに付いているのです。

そして、人事異動により昇格・降格・部署移動などが発生して、各社員さんは権限がかわるのですが、これは権限構成が変わったのではなく、ポストに付属している権限は不動で、そこに所属している人たちが変わったことにより、個人から見れば権限が変わったように見えているのです。

この考え方をDomainController内で実現しているのが、ActiveDirectoryと呼ばれるもので、現実世界同様に、部署という横の関係と階級という縦の関係をグループで表現し、各グループにユーザーを所属させていくことができます。
コンピューターネットワーク内における権限や制限は各グループに付与させることができ、構築後の運用は、人事異動にあわせてユーザーの所属を変更するだけで済みます。
なかなかの優れものです。

というわけで、権限の各種設定の前に、DomainController上に各グループを作成し、ユーザーをグループ分けするという作業を行います。

センスが問われるところですが、一番簡単なのはこんな感じでしょうね


システム管理
役員
経理部管理職
経理部一般
人事部管理職
人事部一般
総務部管理職
総務部一般
第一営業部管理職
第一営業部一般
第二営業部管理職
第二営業部一般
　・
　・
　・

会社ごとに組織形態が違いますが、基本的には上記のようなわけ方をしておけば、ポリシーの設定やファイルサーバーのアクセス権設定で困ることはないでしょう。

Mission1および2で少なくとも管理下にあるPCの制御はできるようになりました。
しかし、ここにPCを持ちこまれては、意味がありませんので、持込PCを防ぐ手段を講じなければなりません。

これにはいくつか方法があります。

まずは物理的・原始的な方法ですが、持込を禁止して社内に持ち込ませない様に警備するという方法です。
これはこれで効果がありますが、見逃しが多いのも事実です。
しかし、社内ルールの明示化とシステム管理者の姿勢を示すことになりますから、ぜひやっておきましょう。

次の手段としては、技術的にPCを持ち込んでも意味がない状態にすることです。
各自のPCからデータを抜けないようにする方法は、後々お話しますが、まずは、持込PCをネットワークに参加できなくします。

一つ目の方法は、一般的にメンテナンスの効率化からLANケーブルを繋げばすぐ使えるように、ルーターなどでDHCP機能を有効にしていることが多いのですが、この機能をオフにします。
そしてPC一台一台にシステム管理者が固定のIPアドレスを割り振ることにします。それからDomainControllerから社内の全てのPCでネットワークの設定を見れないようにして（この方法も後述します）、更に全ての機器をpingに反応しないようにします。
ネットワーク設定の情報が見れないので、設定情報が分からないですし、pingにも反応しないので、簡単には探れませんから、持込PCを手動でネットワーク設定をしようとしても困難です。
全く方法がないかというと、そうでもないのですが、かなり面倒な状態にはなりますから、それなりの効果は見込めます。

次にかなり確実な方法としては、macアドレスフィルタリングできるL2スイッチ（HUB）を導入する方法があります。
この方法を採ると、スイッチにあらかじめ登録されたPC以外は全く通信できませんので、PCを持込んでも何もできないことになります。
残された方法はUSBメモリやSDカード、USBケーブルによるデータ転送などですが、こちらは防ぐ方法があります。（こちらも前述の通りまたの機会に）

しかしいずれにしろ、持込PCの締め出しは根気の要る作業ですし、技術の発展とのいたちごっこです。ワイヤレスLANが登場したときも大変でした。
システムを管理し続ける間は根気よくがんばりましょう。

さて、ユーザーから管理者権限を奪って、PCをDomainに参加させたら、次はユーザーに新しいアカウントを与えなければなりません。
与えるアカウントは、PCのローカルアカウントではなく、DomainUserアカウントを与えます。


原則中の原則として、1アカウントを複数のユーザが使うことはNGです。
この後で説明することになりますが、例えばシステムログにはアカウントとその行動が記録されることになります。
もし、複数のユーザーが一つのアカウントを使用していると、誰の行動ログがわからなくなります。

実際、数年前にyahooさんで個人情報流出事件があったとき、administratorのパスワードを知っている作業者が100人以上いたとのことです。
実際のところはどうだったのか分かりませんが、普通に考えてこれでは誰が個人情報を持ち出したのか、分かりませんね。

また、FileServerなどで、フォルダごとに閲覧してよいかどうかのアクセス権設定を施すのもアカウントによって個人を特定することになります。

そのような理由から、1ユーザに1アカウントを配布する必要があります。


ドメインユーザーは管理者から与えられたアカウントとパスワードでログオンしますが、その直後にパスワードの変更を要求するように、DomainControllerで設定しておきます。

これにより、ユーザーは自分の手でパスワード変更することになり、以後、そのパスワードはシステム上誰も見ることができません。
システム管理者ができるのはパスワードのリセットのみで、ユーザーが設定したパスワードを知ることはできないようになっています。

この時点からそれぞれのアカウントでログオンできるのは本人のみということになります。
それはつまりそのアカウントでのログは本人の行動であると断定できるということです。

この作業により、システム上に各ユーザーの行動を管理および制御できる準備が完了します。

ユーザが自由に設定を変更できなくなったPCを、今度はDomainController（ドメコン）の支配下に入れます。つまりDomainに参加させます。
Domainというのは直訳すると組織です。ここではPCネットワークの組織体のことです。

Domainに参加したPCはDomainControllerの支配下にはいるので、DomainControllerから再起動しろという指令がくれば、再起動するし、壁紙を変えろという指令がくれば変わるようになります。
その他にも様々な制御がDomainControllerに預けられることになります。

この作業が成功して、ようやくシステム管理のスタート地点に立ったことになります。

システム管理の第一段階はユーザーから自由を奪うことから始まります。

どれだけ立派なシステム管理の思想や方法があっても、ユーザーが勝手にPCの設定を変えてしまっては、何の意味も成しません。

ですからシステム管理の第一歩は、ユーザー全員からコンピューターのadministrator権限を奪うことから始まります。

ユーザーのPCに対する権限をできればuser、最低でもPowerUserまで下げます。

それからadministratorにユーザーの知らないパスワード設定します。

今まで好き勝手にプリンタを追加したり、ソフトを入れていたユーザーからは猛反発を食らうことになりますが、その人たちがその社内でのパソコンに詳しいヘビーユーザであり、要注意人物たちです。

よく覚えておきましょう。

この作業が成功すれば、社内のパソコンはあなたの管理下に入ったことになります。

全てはココから始まります。

USBメモリによる情報流出事故が相次いでいます。

また、それに対する対応策も発表されていますが、どうも、わたしにはちょっと疑問。

対応策の主流になっているのは、USBメモリの情報を暗号化するソフトを入れるというものです。
警察庁もこのプランを採用したようですが、何か間違っていませんか？


理由は二つ

　一つはそもそも警察とか自衛隊とかそういう組織でUSBメモリ使っちゃいけないんじゃないでしょうか？
　USBメモリというものはデータを簡単に持ち運びできる道具ですが、例えば山梨県警の場合、その中に捜査資料が入っていたわけでしょう？
　パソコンがなかった時代は、紙の捜査資料だったわけですが、独断で自由に持ち出しできるようなものだったんでしょうか？
　違いますよね。
　
　暗号化するとかじゃなくて、持ち出しできないようにしなければいけない話だと思うんですよね。
　技術的にUSBメモリを使えなくすることなど簡単なことですし、なぜそういう方法を採らないのでしょう？


　もう一つの理由は、USBメモリを暗号化してる一方で、DVD-RWつきのPCを支給したり、自由にインターネットさせていてはまったく意味がないということです。持込PCも然りです。
　つまり、根本的に、組織としてのPC環境を管理体制、情報セキュリティ対策を施さなければ、場当たり的に対応しても、同じことが繰り返されるだけだと思うのです。

まあ、大きな組織なので色々とあるんでしょうけど、逆にあれだけの組織だから取れる方法もあるんですけどね。


さて、弊社のお客様のほとんどは民間企業さんなので、民間企業の場合について考えてみます。
　民間企業だったら、情報流出事故をおこした時点で、信用は失墜、下手すると会社は倒産してしまいますね。
　警察とは別の意味で失敗できません。その危機感から、情報セキュリティに関してはたくさんご相談を受けます。
　積極的なシステム管理を実行している企業は、規模の大小に関係なく、経営者のかたが共通してこの危機感を持っておられるのです。

民間企業ではその規模により、1台あたりの費用が高くつきすぎて取れない方策もあります。そのため、敬遠される事もあるのですが、予算に応じて個別に計画を立てることもできますので、流出事故が起きる前に、ぜひとも弊社にご相談いただきたいものです。

パソコンが社員1人に1台が当たり前の時代になって、久しいですが、パソコンは一般的な事務用品とちがって、未完成な代物です。 非常な高度なことができ、業務効率も上げてくれますが、まだまだ、故障したり、他のパソコンにまで影響を及ぼしたりと、業務を止める原因の一つにもなっています。
業務でパソコンを使うということは、利便性とリスクの両方を持つことになるのです。 会社に1台あるかないかの時代には、専門の技術者がセットで雇われたものですが、事務用品として使用されているパソコンに、技術者を雇えるはずもなく、なんとなく、社内で一番パソコンに詳しい人が担当のようになっているのが、
中小企業における、パソコンの管理体制と言えるでしょう。 しかし、コストから考えれば、専任の人間など置けるはずもないのですが、重要度から考えると、兼任の担当者ではちょっとまずい企業さんも多いはずです。 ・機密情報を保存していたり・・・・個人情報が保存されていたり・・・・見積や発注・
請求をパソコンで行っていたり・・・・アドレス帳の管理がパソコン主体であったり・・・・スケジュール表がパソコンであったり・・・・連絡の主要な手段がメールであったり・・・ パソコンが使えないと、ゾッとしませんか？では、低コストでそのリスクを軽減するには、どうすればよいのか？ その答えは・・・

続きを読む

administrator＝管理者という意味なのですが、
administratorというのはwindows0Sの最高権限者として初期設定されているユーザーのことでもあります。
つまり、続きを読む

domain administrator（通称ドメインアドミン）のパスワードを50人もの社員が知っていることがどれほど恐ろしいことなのか。鶴巻商事のシステム管理者Gさんは分かっていない様子であった。

そこで実際にその恐ろしさを見せることにした。続きを読む

システム管理の体制を整えていく実話紹介の第一弾は株式会社鶴巻商事（仮名）を私がお手伝いをした時の出来事を紹介していきます。

鶴巻商事は300人ほどの営業スタッフが在籍する営業中心の会社で、私がお手伝いを始めたときは、お世辞にも管理しているという状態ではありませんでした。

続きを読む

日経新聞社員のインサイダー取引事件についての一連の報道を見ていると、誰もつつかないので私がつつくことにする。
これは、情報管理やシステム管理がずさんなためにおきた事件である。・・・と私は思う。

http://www.asahi.com/national/update/0725/TKY200607240651.html
asahi.comによると、笹原容疑者は、・・・「法定公告」の掲載予定一覧表を、広告局内の共用パソコンで閲覧・・・とある。

この一文を読んで、「え？」と声を上げてしまった。現在のシステム管理の考え方から言えば、有り得ないからである。
で、他の記事をもう少し読んでみると、


日経の記事http://www.nikkei.co.jp/sp1/nt100/20060725AS1G2502A25072006.htmlにはこう書いてあった。

アドバンス（ＡＤＶＡＮＣＥ）システム
日本経済新聞社の広告管理システム。日経新聞などに掲載される広告の申し込みや紙面への割り付け（レイアウト）、画像処理、売り上げ計算などを一元的に管理している。1993年5月に全面的に稼働、2000年10月にシステムを改修した。

アドバンスの専用端末を使用するには原則、各部ごとに割り当てられた、本人確認のためのＩＤとパスワードが必要だ。アクセスできる範囲はＩＤによって異なるが、笹原容疑者はほぼすべての申し込み情報を閲覧することができた。使用していたのが、ＩＲ（投資家向け広報）広告を企画・立案するという業務上、幅広いアクセス権を与えられた「ＩＲチーム」のＩＤ・パスワードだったためだ。

このチームは2002年3月まで金融広告部内に置かれていた。チームが他部に移管後も、大半の金融広告部員は使い勝手のよい、このＩＤ・パスワードを使用しており、笹原容疑者も03年3月同部に配属された際、同僚から教えられたという。


少し様子がつかめてきたが、なんともずさんなものである。
どうやら、一般社員のネットワークとは隔離されたシステムのようだが（他紙ではLAN上でとあったが、どうやら間違いのようですね）、なんとも引っかかるのが、
「大半の金融広告部員は使い勝手のよい、このＩＤ・パスワードを使用しており」
「笹原容疑者も03年3月同部に配属された際、同僚から教えられた」
という件・・・、

１．大半の金融広告部員が、同じ、しかも幅広いアクセス権をもったIDを使用していたということ？
２．03年って3年以上もパスワード変更していないということ？

社員一人に1つのユーザーアカウントが、付与され、社内のどのPCであっても、誰がいつどの情報について作業したのかというログ（記録）を保存するのはいまや常識である。特に重要な情報があるシステムならばなおさらである。しかし、同じアカウントで複数の人間にログオンされては、どれが誰の作業記録なのか、分かるはずも無い。

更にパスワードの変更が行われていないとすると、かなり管理側の責任ではないのかという気がする。


1人1アカウント、パスワードを知っているのは本人のみで管理者も知らない。
パスワードは一定期間（たとえば30日）ごとに強制的に変更
これは、システム管理の初歩の初歩である。
この事件は、きちんとシステム管理が行われていれば防げた事件だといっても、多分言い過ぎではない。
これは企業側の管理のずさんさが大きな原因ではないだろうか？

システムを管理するって、どういうこと？
システムが止まらないようにすること？

こんな質問をうける機会があった。
その社長さんの認識ではPCは綺麗に字が書ける鉛筆で、インターネットもできるものということのようで、なかなか説明が大変だった。

そのときの話をまとめてみました。

続きを読む

某大手ベンダーSが設置設定していったと環境なのだが、メンテナンス費用がバカ高いので、御社でおねがいできないだろうか？
というご相談の電話を頂き、メンテナンスの見積のために環境を調査させてもらったところ、呆れ果ててしまった。

続きを読む

DomainController（ドメインコントローラー）

企業内でシステム管理に携わっている人であれば名前は知っていますよね。
数多くの企業のシステム管理者の方にお会いしましたが、9割ぐらいの方はご存知です。
操作している人も多いですね。20人以上の企業なら7割から8割は導入しています。
しかし、ドメインコントローラーを何のために導入したのか答えられる人は何割ぐらいいらっしゃるでしょう？
たぶん1割くらいじゃないでしょうか？

続きを読む