PCオタクの新入社員がやってきた! そのとき管理者(あなた)は…：良い管理者 悪い管理者 普通の管理者（3/5 ページ）

[木村尚義，ITmedia]

普通のシステム管理者

システム環境の統一には
現場ユーザーとの緊密なコミュニケーションが必要

　〔普通のシステム管理者・鈴木洋〕はA社のシステム管理者である。2年前にA社が全面的にPCを入れ替えることになってからシステム管理者として任命されたので、まだまだ知らないことが多く、管理業務の修行中といったところだ。

　現在のA社では運用管理を簡略化するため、全社同じハードウェア／ソフトウェア環境で統一している。データはクライアントに置かず、すべてサーバで管理している。トラブルが生じた場合は、クライアントPCを予備の機材と交換できるようにするためだ。

　しかしオタク社員が勝手に環境を変えると、単純に交換するわけにはいかなくなる。それに一部の社員が自分勝手に環境を変えることを許すと、他の社員も環境を変えてしまうだろう。せっかく統一した環境なのに、例外を許すことでそれが崩れてしまうことが心配だ。

　そこで鈴木は、厳密な禁止事項を作り、予防線をはることにした。まずは今年の新入社員に、社内のPCの環境を変更してはならないと告知する必要がある。鈴木はA社のシステム管理を任されたと言っても、PCに詳しいという自信はまだない。だからPCに詳しい社員に気後れを感じていた。しかし相手が新人社員でも中途採用社員でも、自分がシステム管理の先輩なのだから、毅然とした対応をとる必要がある。そのためPCオタクというウワサの山田健太に対しては、メールで「PC環境の変更禁止」を申し渡した。彼と直接話をすると、細かいところをいろいろと突っ込まれる不安があったからだ。他の社員にも同様に、コンピュータ環境を変更してはいけないと一方的に通知した。まぁ、問題はないだろう。

　しかし後日、健太のPCをチェックしてみると、知らないOSが動いている。環境を変えたことをとがめたら、まったく何も変更していないと主張する。CDから起動するOSなので、PC本体のソフトウェアには一切の変更を加えていないのだという。

　そこで鈴木は「指定したOS以外は起動してはいけない」という通達を出した。

　その後も鈴木は統一環境を維持するための禁止事項を作っていったが、そのたびに健太は、抜け道を見つけ出す。今日も健太とのイタチゴッコが続いている。どうもオタク社員とは相性が悪い。

教訓

　DHCPにMACアドレスを登録することでネットワーク制限をかけたとしても、手動でIPアドレスを設定してしまえばネットワークが使用可能となってしまう。また、せっかくDHCPで自動的にIPアドレスを配布しているのに、手動で設定してしまうとIPアドレスがバッティングしてしまう可能性もある。

　LANポートを1つしか使えないように制限したとしても、HUBを使って分岐されてしまえば意味が無い。また私物PCによるネットワークの対策は、IPSecやIEEE802.1Xによる運用が有効だが、管理者にはそれなりの知識が求められ、運用にも手間がかかってしまう。

　また制限するだけでは、通常業務に影響を与える可能性がある。

　つまり、個人情報保護法などといった法律上の見地から制限をかけなければならない場合と、業務の効率化も考慮ながら制限していかなければならない場合の二通りがあるのだ。制限ありきで運用を考えると、普通の管理者の例のように、いたちごっこに陥ってしまう。テクノロジよりのアプローチのみで、正規ユーザーに制限をかけることは大変に難しいのである。