辞めた社員がシステム侵入? うかつなAD管理が招く“最悪のシナリオ”

辞めたはずの社員が退職後も社内システムに侵入――。うかつなActive Directory(AD)管理が引き起こした“最悪のエピソード”をもとに、AD管理の方法を見直してみたい。

» 2013年11月28日 10時00分 公開
[PR/ITmedia]
PR

 企業がITシステムやクライアントPCを管理するにはディレクトリサービスが欠かせない。中でもActive Directoryは、Windows環境で業務を行う企業のほとんどが利用している代表的なサービスといえるだろう。だが近年、Active Directoryの運用管理に失敗し、次のような“危機”を引き起こすケースも増えつつあるようだ。

※実際のエピソードをもとにデフォルメしてお送りします。

A社のケース:辞めたはずの社員が物品購入?

 製造業のA社は、従業員向け業務システムのアカウントをActive Directoryで管理している。同社がActive Directoryを導入したのはWindows XPと同時期の2004年で、それ以来ベテランスタッフが1人で管理してきた。この体制で長期にわたって特に問題なく運用されていたが、2012年にある“異変”に直面したという。

photo

 その異変は突然訪れた。社内の購買システムの利用者リストの中に、管理者にとってどこか懐かしいユーザー名があったのだ。そのユーザーは約1年前に退職した営業部門の元社員。他社に転職したはずの彼が、依然としてA社の購買システムを不正に利用していたのである。

 管理者はすぐにこのアカウントを削除したが、社内調査の結果、他にもActive Directory上に複数の退職者アカウント情報が残っていることが明らかになったという。

B社のケース:人事異動であわや大惨事……?

 B社は、従業員約4000人のアカウントをActive Directoryで管理している。2002年の導入当初は複数のスタッフで管理していたが、近年ではActive Directoryの高機能化やサーバの集約化などに伴い、運用管理できるのがベテランスタッフ2人だけになってしまっていた。

 そんな2人が毎年苦労するのが、春に一斉に行われる人事異動に向けたユーザーアカウントの更新だ。B社はActive Directoryの標準ツールを使用しているため、異動する社員1人1人のアカウントを手動で更新する必要がある。したがって、管理者は大規模な人事異動を前に、何日間も泊まり込みで更新作業を行うことも少なくないという。

 さらにB社の場合、人事部からIT部門に人事情報が伝えられるのが遅く、時には異動の前日――というケースもある。当然、Active Directoryの更新が間に合わなければ該当するユーザーはシステムを使えなくなってしまう。B社は今でも、そんなリスクと隣り合わせのギリギリの状況でActive Directoryを運用し続けているとのことだ。

Active Directory管理は標準ツールだけではもはや限界

photo CSK Winテクノロジの古宮浩行社長

 これらの事例では、いずれもActive Directoryの管理者が少なく、1人当たりの作業負担が高まっていたことがリスクになっている。Active Directory管理ツールの開発・提供を手がけるCSK Winテクノロジの石郷岡 信吾氏によれば、どんなに大規模な企業でもActive Directoryの運用スタッフは数人程度で、他の業務を多数兼任しているケースが多いという。

 「Active Directoryはバージョンアップするたびに高機能化していますが、標準ツールの使い勝手はあまり変わっておらず“玄人向け”という印象です。とはいえ企業にとっては社内のIT環境のアカウント管理を一手に担うツールなので、システムトラブルは決して許されず、ベテランスタッフが苦労しながら運用している場合が多いのです」(石郷岡氏)

 また、企業によっては標準ツールの使い勝手をカバーするため、管理者が独自に作成したプログラムでActive Directoryを運用しているケースもある。だがこの場合も、メンテナンスの煩雑化や管理の属人化を招いてしまうことになるという。

 「企業によっては、個人が開発したActive Directoryの管理ツールをきちんと検証しないまま使っている場合もあります。これはシステム障害のリスクを引き起こすだけでなく、セキュリティやコンプライアンス面でも問題があります」と同社の藤澤英治氏は指摘する。そこでCSK Winテクノロジが提案するのが、Active Directoryの管理を支援するソフト「PerfectWatch for Active Directory」(以下、PW4AD)である。

大量アカウントをGUIで一括管理、操作ミス時も簡単復元

 PW4ADは、Microsoftの認定パートナーであるCSK Winテクノロジが2011年から提供しているActive Directory管理ソリューションだ。アカウント管理機能を中心に、Active Directoryの運用管理全般を支援するさまざまな機能を備えている。

 最大の特徴は、種類の異なる大量のアカウントをGUIで一括管理できる点だ。ユーザー、グループ、コンピュータ、連絡先アカウントのそれぞれを、Microsoft Excel風のGUIで簡単に作成、管理できる。

photo ExcelライクなGUIでアカウント情報を一元管理できる
photo CSK Winテクノロジの藤澤英治ソリューション営業本部長

 また、別途用意したCSVファイルを取り込み、アカウント情報を一括登録/変更することもできる。取り込んだアカウント情報は自動で判別され、差分のみをシステムに反映する仕組みだ。なお、取り込みに失敗したアカウント情報のみを抽出し、後から再取り込みすることもできる。

 アカウントの検索/フィルタリング機能も搭載している。管理者は同機能の利用で、パスワードを長期間変更していないユーザーや、長期間ログオンしていないゴーストアカウントなどを即座に検出、対処できるという。

 アカウント情報の変更内容を自動バックアップ/更新に利用できる「変更前ログ機能」も特徴だ。管理者は万一のオペレーションミス時も変更前の状態に簡単に更新でき、作業負荷の軽減につながるという。「更新前ログ機能を備えるActive Directory管理ツールは他にないはずです」と藤澤氏は胸を張る。

 Microsoft Exchange Serverとの連携機能も搭載し、各ユーザーアカウントのメールボックスを一括作成したりできる。11月18日に提供を開始した新バージョン(Ver 2.0)では、このExchange Serverとの連携が強化され、署名の一括書き換えやスパムメールリストの一括取得などもできるようになった。

 また、アカウント設定変更のスケジューリング機能も強化し、管理者がPW4AD上でアカウント設定変更のスケジュールを組み、一斉人事異動など任意のタイミングに合わせて実行できるようになった。このほか新バージョンではWindows Server 2012 R2にも対応している。

photo スケジュール設定画面

専用サーバ不要で導入も簡単、「シンプルかつ安価」が売りに

photo CSK Winテクノロジの石郷岡信吾氏(ソリューション開発事業部 製品サービス開発部 チームリーダー)

 PW4ADの売りは機能面だけではない。導入時に専用サーバを用意する必要がなく、管理者のPCにソフトウェアをインストールすればすぐに使い始められるのも特徴だ。価格も500ユーザー当たり24万8000円(税別、初年度保守料込み)からと、他社製品と比べて手が出しやすい価格となっている。

 「顧客企業からは、操作前ログ機能などの独自性に加えてシンプルさや価格体系が高く評価されています」と藤澤氏。IT環境を統合管理する製品にActive Directory管理の機能が備わっている場合もあるが、PW4ADのようにActive Directory管理機能のみを安価で提供する製品は「業界全体を見ても少ない」という。

 また、同社の古宮浩行社長によれば、PW4ADの提供当初は中堅・中小企業を想定ターゲットとしていたものの、実際には従業員数の多い大企業からも引き合いが強いという。「IT環境全体の統合管理ツールを導入したうえで、システム全体のハブとなるActive DirectoryはPW4ADで管理する企業も少なくありません」と藤澤氏は話す。


 企業が利用するITシステムは年々複雑化し、アカウント管理の方法も煩雑さを増している。さまざまな経営リスクを引き起こしかねないActive Directory管理体制を見直したい企業にとって、安価かつ簡単に導入できるPW4ADは有効な選択肢の1つと言えるだろう。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社CSK Winテクノロジ
アイティメディア営業企画/制作:ITmedia ニュース編集部/掲載内容有効期限:2013年12月27日

関連リンク

大規模な人事異動にも対応できる専用サーバ不要のActive Directory管理ソリューション

「Microsoft初の合弁会社として1994年に設立され、来年で20周年を迎えるマイクロソフトテクノロジーのエキスパート」