本連載では、“IT担当者”が担うべき仕事を基礎的な内容から分かりやすく解説していきます。少人数でIT機器・サービス全般を見ていたり、情報システム部門と他部門を兼務していたり、ITインフラを構築あるいは運用するノウハウを十分お持ちでない方の参考として、また、「自分は運用に必要な知識は一通り持っている」という方の“仕事内容のおさらい”として使っていただければと思います。
前回はPCの操作ログの取得について説明しました。今回は、PCの使い方を強制または制限する方法について解説していきます。
リスクがある機能は無効化した方がよい
大抵の企業には、「避けてほしいPCの使い方」があるはずです。企業のIT担当者からニーズとして最もよく聞くのは、USBメモリーにデータを書き出すのを禁止したいというものです。これを実現するには、USBポートを無効にする必要があります。
USBポートなどPCに搭載された機能の無効化は、Active Directoryがあれば可能です。ただしActive Directoryだけでは、細かい設定ができません。USBのポートの無効を設定すると、管理対象の全てのPCでUSB機器が使えなくなります。ところが、「基本的にはUSB機器を使えなくしたいが、特例を設けたい」というニーズも多くあります。例えば、出先のネットワークがつながりにくい場所で、データの受け渡しをする必要があるケースです。この場合「会社が認めたUSBメモリーに限り、データのコピー可能」という使い方を例外的に許可する必要があります。
こうした例外を設けたい場合は、USBデバイスの有効化・無効化を細かく制御できる管理ツールを検討してみるとよいでしょう。USB機器はシリアル番号や製品番号を持っていますので、それらで許可する機器を特定するのです。こうしたツールは、「USBメモリーにデータをコピーした」などの操作ログを残すこともできます。
設定や使い方を決める
従業員のPCに関しては、セキュリティ関連の設定などを決めることも考えた方がよいでしょう。典型例は、パスワードに設定する文字数の下限を決めてしまい、それを満たさないパスワードは設定できないようにすることです。一定期間ごとにパスワードを強制的に変更される方法も、よく知られています。ユーザーの権限に応じて、アクセスできるIT機器(サーバー、プリンター、ストレージなど)を決めてしまう方法も有効です。管理対象がWindows PC である場合、Active Directoryがあればパスワードの最小文字列や一定期間ごとの強制変更、権限に応じたアクセス制御などの設定が可能です。
Windows Updateの実施も、コントロールすることを検討した方がよいでしょう。従業員のPCスキルは人によって異なり、Windows Updateを実行する人/できる人だけとは限らないからです。Windows Serverには、Windows Updateの実行方法を管理する機能があります。これはWindows Server Update Services(WSUS)といいます。
WSUSがないPC、つまり単体で動作するWindows PCでWindows Updateを実行すると、インターネット上にあるマイクロソフトのサービスから更新プログラムをダウンロードして適用します。個人でパソコンを使っている場合はこれで問題ありませんが、企業で従業員が朝一斉にインターネットから更新プログラムをダウンロードしてくると、そのデータ量によってはインターネット接続回線がパンクする恐れがあります。