クライアント管理やセキュリティ管理について,取材をしたり記事を書いたりするのは,あまり容易な作業ではない。クライアント管理を厳しくしている企業は,自社の現況を語ってくれるが,クライアント管理に確たる方針がない企業は,その実態を明らかにしたがらない。また,現在厳格な管理をしている企業も,厳格でなかったころのことは,あまり語ってくれないものだ。
昨年夏に取材したある大規模ユーザーは,めずらしく厳格でなかったころのことを話してくれた。その大規模ユーザーは昨年,Active Directory(AD)とMicrosoft Software Update Services(SUS)を導入して,Windowsクライアントのセキュリティ修正プログラムの適用を自動化した。しかしADの導入以前は,Windowsクライアントのセキュリティ修正を全くしていなかった,と語るのだ。
この大規模ユーザーがセキュリティに無頓着だったわけではない。情報漏えいなどを防ぐために,エンドユーザーにはWindowsクライアントの管理者権限を与えないことにして,勝手にアプリケーションや周辺機器(外部記憶装置)などを追加できないようにしていた。
しかし,エンドユーザーからPCのローカル管理者権限を剥奪した場合,エンドユーザーはWindows Updateを自分で実行できなくなる。従ってシステム管理者がWindowsクライアントの面倒をすべて見なければならないのだが,その大規模ユーザーにおいては,管理者の手作業によるWindows Updateの実行は物理的にも予算的にも不可能だったという。かくして,Windowsクライアントのセキュリティ修正が全くされない状況が誕生した。
この大規模ユーザーにとって,ADやSUSの導入効果は非常に大きい。とはいえ,その事実を実名を出して書くことに,筆者はためらいを感じた。結局この事例は,誌面では取り上げなかった。
Windowsクライアント管理の実情は,「セキュリティ上の問題から,社内事情を明かしたくない」というベールによって覆い隠されている。実情を明かしてくれたこの取材先は,本当にありがたい存在だった。だが,ありがたかっただけに,取材先にトラブルが生じる可能性を苦慮した。
本当にどう管理されているのだろうか・・・
そして今,個人情報保護法の完全施行が間近に迫っているため,Windowsクライアントの管理強化の機運が高まっているのを,肌で感じている。しかし,ほんの1年前にネットをにぎわせた議論のことを考えると,まだまだ多くのクライアントが管理されず,野放しなのではないか,という疑念も残る。
その議論とは,フリーのVPNソフト「SoftEther」をめぐるものであった。SoftEhterは非常に便利なソフトなのだが,システム管理者の知らぬところで勝手に導入されると,社内ネットワークを危険にさらしかねない。こういった懸念に対してソフト作者の登大遊氏は,著書やメディアのインタビューなどで「一般ユーザーに管理者権限を与えなければよい」という主張をしていた(注1)。
注1:SoftEther 2.0からは,ローカルの管理者権限がなくても利用できるようになった。
登氏の主張は正論である。実際,クライアント管理が厳格な企業では,エンドユーザーにはPCのローカル管理者権限が与えられていないことが多い。しかし,エンドユーザーに管理者権限を与えている企業には,「会社でWindowsクライアント管理の面倒を見きれない」というコスト面での事情があったはずだ。その事情は,1年で解決できるのだろうか。
結局,分からないことは自分で調べるしかない。日経Windowsプロでは現在,「企業や団体におけるWindowsクライアント利用/管理の実態調査」というアンケートを実施中である。クライアント管理の実態について,「Active Directoryを使っているか」「エンドユーザーに管理者権限を与えているか」「Windowsクライアントのセキュリティ更新はだれが実施しているか」「クライアントのデータ・バックアップは実施しているか」など,議論が分かれるポイントについて重点的に調査している。
本アンケートには,会社名を答えなくても回答できる。また調査結果は,日経Windowsプロ4月号で掲載するが,掲載号はアンケートに回答者して下さった方に無償でお届けする予定だ(希望された方のみ)。他社のWindowsクライアント管理が気になるシステム管理者やユーザーの方は,ぜひともこの調査にご協力いただきたい。
(中田 敦=日経Windowsプロ)
