東京電力株式会社のグループ企業として、各種施設の保守・管理、環境調査・コンサルティングなどのサービスを提供している東電環境エンジニアリング株式会社。全国各地の拠点に散らばる約1,600台のクライアントPCを管理するため、「LANDesk® Management Suite」と「LANDesk® Security Suite」を導入しました。そこで、LANDeskの提案、導入、稼動後の運用支援を手がけているLANDesk 認定販売代理店であるTIS株式会社とともに、LANDeskのご担当者である東電環境エンジニアリングの見留様より、LANDesk製品の導入経緯からクライアントPCの管理方法までを伺いました。
東電環境エンジニアリング株式会社
経営企画部 調査情報グループ 主任
見留 健志氏
TIS株式会社
事業統括本部 産業第3事業部
基盤ソリューション部
藤原 尚氏
■導入の背景
■業界内で起きたトラブルにより、資産管理ソフトと暗号化対策が急務に
東電環境エンジニアリングは、東京電力グループの「環境総合エンジニアリング企業」として、環境に関するさまざまな事業を展開しています。
拠点数は50~300名規模の事業所が全国に10か所、1~20名程度の現業所/少数職場が約40か所、LAN未接続拠点がさらに20~30か所存在しています。クライアントPCの台数は、Windows 2000とWindows XPの混在で1,600台前後あり、そのうち100台前後はLANに未接続の状態で使われています。
IT関連の管理者は本社や事業所に若干名いる程度であり、そのような状況下において、現業所/少数職場・LAN未接続拠点のクライアントPCの状況を把握することは困難です。
同社が資産管理ソフトを導入した背景には、業界内のさまざまな問題が発生していたことがありました。
「電力業界内で、原子力発電関連のデータ改ざんやWinnyなどのP2Pソフトによる原子力技術文書等の流出が問題となり、ニュースでも大きく取り上げられていました。幸い当社では同様のトラブルは起きていませんでしたが、法令遵守に対する認識や情報漏えいに対する意識の不足は否めません。“同じようなことを起こしてはならない”という危機意識が高まる中、資産管理ソフトの導入と暗号化対策が急務となっていったのです」と、見留氏は導入当時の状況を振り返ります。同時に、内部統制と情報セキュリティポリシーの策定といった社内の仕組みを見直すことも大きな課題として浮上してきました。
■導入決定のポイント
■拠点ごとに管理できること、ネットワークの負荷を考慮していることが決め手に
同社が資産管理ソフトと暗号化対策ソフトの選定に乗り出したのは、2006年に入ってすぐのことでした。複数のベンダーやメーカーに声をかけてヒアリングやデモンストレーションを実施した結果、「たまたま飛び込み営業で来られたTISさんから提案された」(見留氏)というLANDesk製品が、東電環境エンジニアリングの要件にマッチするとして導入が決まりました。(また、LANDeskと時期を同じくして暗号化対策ソフトを別途採用しております。)
「LANDesk製品の選定の決め手は、拠点ごとに管理ができることと、当社で使っている128kbから100MBまである回線の帯域に幅広く対応していることでした」と、見留氏は述べています。
ソフト選定後は、同社のシステム環境にサーバを設置し、TIS主導による約1か月間の動作検証を経て導入が確定となりました。
■LANDeskの全社展開について
■インストールプログラムの特徴を利用した拠点管理方法を発見!
LANDeskの導入によって、本社の管理者と事業所の管理者が同時にクライアントPCを管理できるようになりました。
また、クライアントPCに割り振られているIPアドレスから、LANに接続している事業所や現業所を特定しています。ところが、LAN未接続PCについては、IPアドレスのように事業所を識別する情報はありません。
「方法として考えられることは、LANDeskをいったん導入してから、LAN未接続のクライアントPC一台一台について“このPCは事業所A”“これは事業所B”と手動で紐付けすることでした。ところが、何台ものPCに手動で紐付けする作業は手間がかかってしまいます。そのほかにいい方法はないだろうか? と思案した結果、思いついたことは、LANDeskを展開する仕組みを応用することでした」(見留氏)。
LANDeskには、管理方針などに応じて異なる任意のポリシーを埋め込んだインストールプログラムを作成できる機能があります。東電環境エンジニアリングでも、この機能を使って複数のポリシーを組み合わせるなどして展開を実行しています。
「展開の仕組みを詳しく調べたところ、ポリシーファイルの作成時に定義した名称がレジストリに登録されていることに気が付きました」(見留氏)。つまり、ポリシーファイル作成時に名称を「拠点名」と定義して展開すれば、クライアントPCのレジストリに「拠点名」が、また、未接続PC用として「拠点名+LAN未接続」と定義して展開すれば「拠点名+LAN未接続」が登録されます。LANDeskのコンソール画面では、IPアドレスでなくレジストリに登録されたこの値を参照すればLAN接続PCも未接続PCもまとめて拠点管理ができるのです。
このように、インストールプログラムを本来の使い方であるポリシー設定でなく、拠点名の設定に利用することで理想的な拠点管理が実現しました。見留氏は、「LAN接続PCとLAN未接続PCを簡単にグルーピングできることで、Windowsアップデートやウイルス対策ソフトの更新もなど、LAN接続PCだからこそ日々更新されるものと、未接続PCゆえに更新されないものを切り離して状況管理ができるようになった効果は非常に大きい」と強調します。
さらに、LANDeskの全社展開にはログオンスクリプトを採用したことで、IPアドレスをもとに、拠点ごとに異なる拠点名のインストールプログラムを実行したり、新規で導入したPCに対してのみLANDeskをインストールするといったことが実現できました。また、人事異動などでPCが新しい拠点に移動した時でも、レジストリ名(拠点名)をチェックして新しい拠点名に置き換わるよう、インストールを実行することも可能になりました。
「LAN未接続PCにはログオンスクリプトの仕組みは使えませんが、それを除いてもほとんどの作業が自動化でき、管理者の負担も大きく削減できたと思います」と、見留氏も満足の様子です。
■運用状況、将来の展望
■システムに合った運用ルールを定め、さらなる効率化へ
LANDesk展開後、まず実施したことは、LANDeskの配布機能を用いて全社のPCに暗号化対策ソフトを展開したことでした。現在は、LANDeskのインベントリ情報を利用して、セキュリティパッチの更新やネットワークの設定に不備があるPCの発見などを行ったり、配布機能を用いてWindows XP SP2の展開を行ったりしています。リモートコントロールの利用により、少数職場や管理者のいない現業所についても管理者の負担が大きく削減できました。
今後の課題として挙げられることは、全社購入のソフトウェアライセンスと拠点で購入したライセンスの管理、不要ソフトのアンインストールなどです。
「PCの購入/廃棄手続き、ライセンス購入手続きなどの社内ルールやフローなど、LANDeskを使った管理に沿うような社内の運用管理ルール作りが早急に必要と考えています」と、見留氏は述べられました。
以上のように、LANDeskソリューションを活用することによって、全国各地の拠点に散らばるクライアントPCの徹底管理が可能となり、内部統制の実現・運用に向けてスタートを切ることができました。同時に、LANDeskの機能を活用することでシステム管理者の負担が減り、継続的な運用が可能となります。東電環境エンジニアリング様の事例は、少数の管理者による、複数拠点に散在するクライアントのシステム管理とセキュリティ確保に悩む多くの企業様の参考になるのではないでしょうか。
■導入企業の紹介
東電環境エンジニアリング株式会社
東京電力グループの「環境総合エンジニアリング企業」として、地球環境保全をテーマに、環境調査・コンサルティングをはじめとする環境ソリューションを提供し、循環型社会の実現を追求している。
設立:1955年11月5日
本社:東京都港区芝浦4-6-14
代表取締役社長:細川忠士
資本金:払込資本金 3億円、授権資本金 5億円
売上高:369億円 (2005年度)
従業員数:1,327名 (2006年3月末)
事業内容:環境関連事業、リサイクル関連事業、商品・資材販売、火力関連事業、原子力関連事業
http://www.tee-kk.co.jp/
