PCネットワークの管理活用を考える会/IT資産・ソフトウェア管理分科会、関西座長の柳原です。平成15年度はすでに9月と10月に分科会を開催してきました。 分科会では参加者の皆様との情報交換が楽しみなのですが、3時間ほどの分科会だけではいかんせん限界があります。 毎回、言い足りなかったことや議論しきれなかったことが悔やまれます。
そこで今回からは念願のWebコラムを始めることになりました。ここでは分科会を通じて私なりに感じたことをお伝えしていこうと思います。このコラムがこれから分科会に参加してみようかな?と迷っている皆さんや、常連の皆さんとの接点になればと願っています。
では最初に、そもそも何故この分科会ではIT資産の管理をテーマにしているかを振り返っておきたいと思います。
「セキュリティポリシー」という言葉をよく聞きます。しかし、セキュリティポリシーの策定というと、単に形式的な文書の山を作る仕事だと誤解している人はいませんか?確かに労力は必要ですが、それ以上に意味があるということを知っていただきたいと思います。
企業にとって経営方針が重要であることは当然ですね。経営方針の中には、3M、すなわち「人・物・金」に関する方針が示されます。つまり人事面の方針、商売そのものの方針、財務面の方針などが指示されるわけです。現在では第4の経営資源になった「情報」が加わります。すると、広い意味での「情報」をどのように経営に役立てるか、という方針が必要になります。
例えば人事部では、限られた予算の中でより優秀な人材を採用し教育していこうとしますし、同時に人材の流出を防ぐための方策を「人事方針」として策定しているはずです。これと同じように「情報」についても、限られた予算の中でどのようにして自社にとって有効な情報システムを運用するか、そして貴重な財産である社内の情報をどのようにして守るかを「方針」として打ち出していく必要があるのは自明のことでしょう。
人事部では、社員を重要な経営資源であると認識しているはずです。このため厳密な社員マスターを作り、社員一人一人の属性はもちろん、彼・彼女が持っている免許や能力についても管理していることでしょう。その管理を行うために、様々な規則が作られていると思いますし、毎年、人事方針が策定されていることでしょう。
これとまったく同じ意味で、情報という資源を管理・マネジメントしていくための様々な方針が生まれるのは当然のことです。その一つが「情報セキュリティマネジメント」です。そして、情報セキュリティマネジメントを着実に実行していくための枠組みの一つとして、「セキュリティポリシー」があり、そして本分科会のテーマに相当する「情報資産の分類及び管理」があります。
人事管理を確実に実行していく基礎として「人事マスター」があるのと同様に、情報マネジメントにおいても、基本は情報資産をきちんと管理することです。
1. 情報システムの運用にどれだけのコストがかかっているのか
2. 情報システムは適切に開発・運用され、効果をあげているのか
3. 情報は確実に守られているのか
4. 情報システムには、今後どれだけのコストが発生するのか
こうした管理を行っていくことは、「情報」が重要な経営資源なのであれば、いわば当然のことです。そして、本分科会がテーマとしている「IT資産・ソフトウェア管理」は、こうした情報マネジメントや情報セキュリティマネジメントの基礎となるものであり、前提となるものなのです。
IT資産を管理せずに、情報管理はありえません。
| 年度 | 開催日 | テーマ | ||
|---|---|---|---|---|
| 14 | 2003年5月16日 | ツールで収集したソフトウエアインベントリの活用方法について | 議事録 | 参考資料(PDF) |
| 15 | 2003年9月3日 | 緊急レベルのセキュリティパッチ公開続出! 効率的なセキュリティパッチインストールとは |
議事録 | 参考資料(PDF) |
| 15 | 2003年10月19日 | ITに依存しない危機対策管理 | 議事録 | 参考資料(PDF) |
平成14年度 第一回(2003/5/15)
テーマ:ツールで収集したソフトウエアインベントリの活用方法について
IT資産・ソフトウェア管理分科会(関西)での平成14年度と15年度の動きは議事録と参考資料を見ていただきたいと思います。平成14年の1回目は組織内のクライアントPC上に導入されているソフトウェアのライセンスを、適切に管理する手法の紹介です。
企業にとって情報セキュリティマネジメントの重要性が増している中で、陰に隠れがちなIT資産管理ですが、(財)日本情報処理開発協会が進めているISMS(情報セキュリティマネジメントシステム)を見ても、しっかりその一項目「情報資産の分類及び管理」として上がっています。
しかし実務を担当する立場になると、数百台や数千台以上のPCにどのようなソフトウェアが導入されているかを、手作業で管理していくのは途方にくれてしまいます。情報を収集するだけでも大変な労力を必要ですが、それだけではありません。毎年のように発生するソフトウェアのバージョンアップにどれだけの費用が発生するか?そもそもライセンス数は適正なのか?といった集計作業も必要です。そのための管理ツールとして、日立情報システムズのLicense Guardを紹介する講演のあと、質疑応答と参加者間での意見交換が行われました。
平成15年度 第一回(2003/9/3)
テーマ:緊急レベルのセキュリティパッチ公開続出!効率的なセキュリティパッチインストールとは
一昨年あたりからでしょうか。Windowsネットワークのシステム管理者はコンピュータウィルスやワームに振り回されつづけています。2001年7月13日に発見されたCode RedによってWindows NTのWebサーバであるIISが感染したことは記憶に新しいでしょう。
もちろんよりセキュリティホールの少ないオペレーティングシステムが提供されることを望みます。しかし世の中に犯罪や汚職がなくならないのと同じで、「物騒な世の中になったもんだ」とぶつぶつ言っているのではなく、私たちはより効果的な防御策、抑止策を考え、迅速な対処をもって対抗していかなければなりません。
この分科会が開催される直前、2003年8月12日からWindows NTのMS03-026の脆弱性を悪用したワームであるW32.Blasterの感染被害が広がっていました。このワームはTCP135番ポート(RPC)を通じて感染を広げるため、アンチウィルスソフトだけでは無力でした。世のWindowsシステム管理者たちはマイクロソフト社が公開したセキュリティパッチを適用するために奔走を余儀なくされたのです。
こうしたセキュリティパッチの適用作業を自動化するツールの一つとして、本分科会ではアップデートテクノロジー社のUpdateEXPERTの紹介講演と、参加者との質疑応答、意見交換が行われました。
平成15年度 第二回(2003/10/19)
これまでの分科会では、主にシステム管理やIT資産管理を担当する方々にとって役に立つ(であろう)ツールの紹介がメインでした。しかし、ITツールに頼るだけでは解決できない問題がかなりあることも、参加者の意見交換の中で噴出していたことは確かです。
私自身、情報システムの開発/運用を行っていましたが、そこで考えていたのはつぎのとおりですし、今でも間違っていないと思っています。
・技術的に対策できること、自動化できることは出来る限り技術で対応しよう
・今の技術で対応できないことは、あっさりあきらめて人間サイドで対応しよう
今回の分科会では、三洋電機株式会社 IT-ERP推進ユニット主任企画員である林直樹さんから「ITに依存しない危機対策管理」という、ある意味ではソフトウェアベンダーに喧嘩を売るようなテーマを取り上げました。このようなテーマですら開催してしまうというクオリティ株式会社の懐の深さに感謝したいと思います。林さんは本分科会の常連メンバーですので、次回以降の分科会でも活躍されることと思います。
実は林さんと私は以前からの友人です。普段は真面目な話ばかりの林さんですが、酒が入るとこんなに楽しい人はいません。昔は酒にまつわる武勇談もありましたが、とてもここに書くわけにはいきません。直接お聞きになりたい方は、次回の分科会(とその後の懇親会)におこしください。
さて、この原稿を書いている最中にも、筆者のメールボックスには続々とMyDoomウィルス付きメールが飛び込んできています。自宅の通信環境はADSLですし、アンチウィルスソフトも動作しているので、特に神経質になることもなく、淡々とメールを捨てています。どちらかというと、アンチウィルスソフトのウィルス定義ファイルの更新頻度がほぼ連日になっていることと、ウィルスが見つかったというレポートのチェック高くなっているので、それが面倒だと感じるぐらいです。
筆者は今、大阪市立大学大学院に院生として在籍しています。企業に比べると研究目的で使っているPCは管理の甘いものが散見されるようです。大半のPCはその使用者自身が管理者(Windows 2000/XPではadministrator)のはずなのですが、現実にはadministratorとしての技術が追いついていないのがほとんどでしょう。すると可笑しい場面にも出くわします。
ある学生がメールをチェックしていて声をあげました。
A嬢「なんかメールがエラーだって、なんか間違ったんかなー、ちょっと見てこれ」
声をかけられたB君、普段からAさんのパソコンの面倒を見ているようで、さっそくチェックに行きました。A嬢のメールボックスには「Mail Transaction Failed」というSubjectのメールが届いています。
B君「ああ、これはねえ、あて先アドレスを間違えたんじゃないの?もうちょっと中をよく読んでごらん」
A嬢「ファイルが付いてるね。これかな」(カチカチ:ダブルクリックする音)
筆者「おーい、それってMyDoomウィルスじゃないのかー」
B君「ウィルスソフト入れてますから大丈夫ですよー」
心配になって筆者はA嬢のPCをチェックに行きました。案の定、アンチウィルスソフトのパターンファイルが、導入時からまったく更新されていませんでした。もう手遅れです。
・Server Report
・Mail Delivery System
・Mail Transaction Failed
・Returned mail
など、他にも沢山あります。詳しくはこちらをご覧ください。
A嬢は慎重な性格だったのかもしれませんが、質問する相手を間違えたようです。学生同士はある意味では対等です。このため企業のような指揮管理系統の無い大学内では、こうしたウィルス感染事故が絶えません。
問題はB君のような「にわかパワーユーザ」でしょう。筆者から見れば、まだまだ知識も技術も経験も不足している人でも、周囲からは「パソコンの分かる人」と見られていることがあります。案外、このB君のような人が混乱を拡大させていると見ることもできます。皆さんの組織内にもいらっしゃるのではないでしょうか?
大きな組織では、とても誰がB君のような役割を演じているのかわかりません。かといって一人一人に聞いてまわるのも手間でしょう。そこでお勧めしたいのがB君のようなにわかパワーユーザの心を揺さぶる企画、「身近なパソコン師匠を捜せ!」です。
年に1回ぐらいでよいと思います。社員に対して「システム管理部以外で、パソコンに詳しい人を推薦してください」というアンケートを出すのです。「システム管理部が不在のとき、あなたは誰に質問・相談しますか?」でも良いかもしれません。回答は匿名でよいでしょう。
これを実施すると、あなたの社内でシステム管理には直接タッチしていないけれど、実際にはB君のように周囲の人々に手を差し伸べている人が見つかります。彼らに正確な情報を流し、うまく指導していけば・・・・確実に社内のパソコンに関するトラブルは減るでしょう。
出張などで、ノートパソコンを社外に持ち出す事が多くなりました。筆者の場合も、ノートパソコンにAirH"を接続して、移動中ですらメールチェックやIRCに精を出しています。大学には大学院生用のIRCサーバが立っているので、学友や指導教官と四六時中会話ができる状態なのです。
おまけに筆者は、自分の行動スケジュールをWeb上に置いています。このため手帳というものを使っていません。予定の追加・変更があれば、手元でHTMLを修正し、すぐにFTPでアップロードしてしまいます。宴会の予定も入れていますから、ご一緒したい方はどうぞ(違)
さて本題です。
セキュリティに厳しい会社では、モバイルに使ったりイベントなどで外に持ち出したPCを社内のLANに接続する前に、必ず事前にウィルスチェック、パターンファイルの更新、セキュリティパッチの適用状態をチェックするそうです。
だけど、実際にそんなことができるんだろうか?必ずチェックせずに接続する奴が出てくるんじゃないか?という疑問が湧きます。実際に小さなノートパソコンなどは、カバンに忍ばせて持ちこまれれば一貫の終わりですよね。現実にそのチェックは、誰でもできるわけじゃないでしょうから、システム管理部門はいったいどれだけの工数をかけることになるのでしょうか。考えただけでもぞっとします。
そこで少しヒントを。
基本は、モバイルに持ち出すパソコンそのものをセキュアな状態にしておくことなのです。もって帰ってきた時のチェックに明け暮れるのは、対策が後手にまわっていると考えるべきでしょう。ではどうすればセキュアかどうかを判断できるのでしょうか。有効なツールがあります。
日本語版Microsoft Baseline Security Analyzer V1.2
これは普通、MBSAと呼ばれています。つい最近になって日本語版が提供されるようになりました。
筆者も実際に試して見ましたが、Windows Updateを確実に適用しているようなPCでも、MBSAでチェックしてみると、まだセキュリティホールが残っている事に驚かされます。これはWindows UpdateとMBSAではそのチェック方式が異なるためです。言い換えれば、Windows Updateを実施しているからといってセキュアではないということです。
便利なのは、MBSAはLAN上にある他のPCをリモートでチェックできることです。これを使えば、電源が入ってLANに接続さえしていれば何時でもセキュリティホールが残っていないかどうかのチェックができるのです。
パーソナルコンピュータとの付き合いは1979年のNEC社製PC-8001から始まっています。
1985年から当時はオフコンと呼ばれていたIBM社のシステム36を使って、機械製造メーカでの社内用生産管理システムの構築に関わりました。言語はRPGでした。
1990年ごろから社内にパソコン通信やLANを導入してきました。この頃からネットワーク上でのコミュニケーションに関わっており、1993年以降はインターネットとWindows NTによる社内業務システムの開発、運用を行ってきました。
1996年からはインターネット上でのコミュニティであるNT-Committee2に参加し、全国各地で勉強会を開催しています。
http://www.hidebohz.com/Meeting/
1997年からはIDGジャパンのWindows NT World誌に「システム管理者の眠れない夜」というコラムの連載を始めました。連載は既に7年目に突入し、誌名は「Windows Server World」に変わっていますが、読者の皆さんに支えられて今でも毎月、締め切りに追われる日々が続いています。
連載から生まれたメーリングリストもあります。ご参加はこちら。お気軽にどうぞ。
Copyright 2004 Hideki Yanagihara All Right Reserved
