目 次
・年内のWindows 10への移行完了を推進中
・Windows端末が「最新状況に保たれる」サイクルを約3ヵ月で確立できた
・ノートPCのドライバー更新にLanScope Catの配布機能を駆使
・LanScope Cat、そしてOSに対する正しい知識があればWindows 10移行には苦労しない
・リモートワークなど「社内ネットワークに属さない」端末の管理は大きなテーマ
Written by 阿部 欽一
キットフックの屋号で活動するフリーライター。社内報編集、Webコンテンツ制作会社等を経て2008年より現職。情報セキュリティをテーマにした企業のオウンドメディア編集、制作等を担当するほか、エンタープライズITから中小企業のIT導入、デジタルマーケティングまで幅広い分野で記事執筆を手がけている。
1999年3月の創業以来、「永久ベンチャー」を掲げ、インターネットサービスのみならず、幅広い領域に事業拡大している株式会社ディー・エヌ・エー(以下、DeNA)。
同社は2018年3月、業務用のWindows端末向けの統合型エンドポイントマネジメント製品として、LanScope Catの採用を正式決定。本企画は、その導入から運用までをレポートする。
第2回目は、同社が管理する約3,300台のWindows端末について、Windows 7からWindows 10への移行や、移行後のOSアップデートをはじめとする脆弱性管理の運用のポイントなどについて、同社IT戦略部 技術推進グループの三浦氏、中西氏、上田氏に伺った。
LanScope Cat導入事例インタビュー連載
? 第1回 ~DeNAを支える“攻める情シス”の取り組みに迫る!~
? 第3回 ~ユーザー企業がメーカーサポートに求めるポイントとは?~
Windows 10の更新プログラムの配信について、資産管理ツール
LanScope Catを使用した場合のメリット・運用例をご紹介します。
「LanScope CatでできるWindows 10管理」
LanScope Catが管理する約3,300台のWindows端末のうち、Windows 7からWindows 10への直接の移行対象となったのは「全部で数百台だった」と、経営企画本部 企画統括部 IT戦略部 技術推進グループの三浦 忠善 氏は述べる。三浦氏は、LanScope Catを用いた運用管理全般を担うエンジニアだ。
三浦氏「比較的早期にWindows 10端末の導入を開始していたので、移行対象はそれほど多くありませんでした。横浜や大阪などの遠隔拠点を含め、Windows 7を稼働中のユーザーにアンケートフォームを送信、ヒアリングして移行時期を調整しながら、本社のIT戦略部にある2つのチームが十数名体制で対応しました」
全体の移行スケジュールは、2018年7月?8月頃に本格検討を開始。社員へのアンケート実施と端末の事前調査を2019年2月ごろまで行い、途中、インテルCPUの配給不足の時期などもあったが、2020年1月のWindows 7のサポート終了までにWindows 10端末の在庫を見ながら、毎週約20台をキッティングしてもらい、アンケートの優先順位に沿ってリプレースを進めているところだという。
移行にあたっては、社内ポータルに解説及びFAQを掲載し、更にメールでも通知。ユーザーへの周知を密に行うことを重視している。
三浦氏によると「移行は2019年度9月の上期中、遅くても年内までには終わらせたい」とのことだ。
経営企画本部 企画統括部 IT戦略部 技術推進グループ 三浦 忠善 氏
一方で、LanScope Catの導入効果として、「端末管理に関する可視化、省力化のメリットが大きい」と述べるのがシステム本部 IT基盤部 第三グループ(主)、 経営企画本部 企画統括部 IT戦略部 技術推進グループ(副)の上田 崇史 氏だ。
上田氏は三浦氏とともに、Windows端末の管理業務を行い、特にインフラ周辺の見地から企画、プロジェクトを推進する立場だ。
Windows端末のセキュリティパッチ適用は、Windowsパッチを管理・配布するWSUS(Windows Server Update Services)を通じて管理者が社員にアナウンスをし、アップデートは社員自身が手動で行う運用となっている。
システム本部IT基盤部 第三グループ(主) 経営企画本部 企画統括部 IT戦略部 技術推進グループ(副) 上田 崇史 氏
上田氏「Windowsの更新プログラムや、機能更新プログラム(FU)の配布は、WSUSをキャッシュサーバーとして使っています。WSUSは動作が遅いという問題があったため、LanScope CatのWSUS連携機能を利用し、LanScope Cat上からアップデート状況の確認や未適用端末への再配布などを実施しています」
これまで、端末側のアップデートの状況はユーザーからの申告がベースだった。そのため、成功したかどうかの状況を正しく把握することが難しかった。しかし、LanScope Catで端末情報をすみやかに把握できるようになり、アップデートに失敗した端末を絞り込むことが容易になったのだ。
「FUの適用についても、端末ごとのバージョンがLanScope Cat側で一覧できるため、未適用のユーザーをグルーピングし、管理者が未適用のユーザー社員に対しOSのバージョンアップを促進できるようになった」と三浦氏は説明する。
こうした体制が整ったことで、電源が入っていない端末や意図的にアップデートを止めている端末を除き、3,300台のWindows端末のほぼすべてを最新バージョンに統一することが3?4ヵ月の短期間で実現できたそうだ。
「未適用の原因の切り分けにも効果を発揮している」と述べるのは経営企画本部 企画統括部 IT戦略部 技術推進グループの中西 匠氏だ。
中西氏は、「LanScope Cat導入によって、Windows端末の情報が知りたいときに把握でき、パッチ未適用の原因の把握、切り分け、必要な作業がわかるようになった」という。その結果、端末側に問題があり、交換が必要だというケースがいくつかあったということだ。
中西氏「現在、Windows Updateについては、配布後約2週間でクライアント端末のパッチ適用が完了、その後2週間ほどで未適用の端末をLanScope Catで絞り込み、パッチ適用を促す通知を送信するというサイクルが確立されてきています」
LanScope Catではログイン履歴が取得できるため、いわゆる、使われていない端末が把握できるようになった。これにより、不要なハードウェア・ソフトウェア資産の使用を停止し、リース費用・ライセンス費用の最適化、トータルでのコストダウンにも寄与している。
経営企画本部 企画統括部 IT戦略部 技術推進グループ 中西 匠 氏
上田氏「こうしたソフトウェアの棚卸しを行うためには、台帳が必要でした。Windows端末のOSやソフトウェアに関する情報がLanScope Catで一覧できるようになったため、とても良質な台帳になっています」
同社では、ハードウェアの所有に関する状況は、内製の資産管理システムで台帳管理している。このデータをマスターデータとし、LanScope CatがWindows端末のソフトウェアに関する状況を管理。両者が連携することで「端末ごとのOSのバージョン情報や、アップデート状況といった情報と、端末の所有者情報が即座に紐づくようになった」という。
これにより、アンチウィルスソフトのインストールが必要な端末を抽出し、LanScope Cat側でインストール状況の管理を行う施策などを実施することが可能になった。
三浦氏「また、検証用端末などの管理者が部署内で異動や退職となったときに、事務上の手続きミスなどで台帳上の引き継ぎがなされていないケースなどもLanScope Catの導入によって把握が可能になり、より実態に即した管理が可能になりました」
LanScope Catの配布機能を駆使してアップデート作業を完了させた象徴的なエピソードもある。それが、ノートPCの無線LANドライバーの更新だ。
特定機種の無線LANドライバーを更新する必要があり、調査したところ、社内に対象の端末が約2,000台あったそうだが、メーカーからドライバーを入手、LanScope Catの配布機能を利用してバックグラウンドで更新する作業を行った。
三浦氏は「約2,000台のドライバーの更新を、作業を開始して約3日で完了することができた」と述べる。特に、OSやハードウェアに関するドライバーの更新は、対象台数が多いと、「情シス部門で必要性を感じても、なかなか着手できない」と上田氏は説明する。
緊急性が高い場合、ユーザー側に手動で対応してもらうのは現実的ではなく、かといって情シス部門で取りまとめるには管理工数が膨大だ。「LanScope Catの配布機能を利用して、2,000台規模の端末のドライバー更新を、バックグラウンドで対応できるのは素晴らしいことだ」と上田氏は話す。
三浦氏は「これまで、Windows UpdateやOSのFUの更新に失敗した事例は、端末起因のケースを除いてほとんどなく、少人数で対応できるトラブルで収まっている」と述べる。こうしたLanScope Catの安定稼働の実績が評価され、海外子会社においても、本社の環境に揃えようとの議論が出ているという。
三浦氏「海外についても、日本の本社と同じセキュリティレベルを求める必要があるとの判断があり、これから環境整備を推進していく予定です」
その意味で「今、LanScope Catがなくなったら路頭に迷ってしまうほど頼りにしている」と三浦氏は話してくれた。
Windows 10への移行の経験を踏まえ、三浦氏に、苦労したことについて聞いてみた。三浦氏は、「移行そのもので苦労したことはなかった」と述べた上で、「ツールとしてのLanScope Catを駆使するためにはOSに対する理解も必要」だとの見解を示した。
三浦氏「ITシステムやWindowsに関する基本的な知識や技能、そして端末管理の運用に関するナレッジがあれば、やりたいことを可能にするツールがLanScope Catだと思います」
DeNAでも知識をきちんと学び、ツールを使いこなせるようにとMOTEXのサポートのもと、知識と経験のアップデートに取り組んでいる。
多くの企業で、パソコンの脆弱性管理に様々な課題を抱えている。たとえば、パッチが累積されていくことによる、容量圧迫や容量不足という課題に対して、DeNAではどのように対応しているのだろうか。
三浦氏は「大事なことは、半年に1度のFUを必ず当てることだ」と述べる。その都度、最新の状態になっていれば、次回の更新に必要なファイルは、前回との差分のみとなりファイルの容量を減らし、通信トラフィックを削減することにもつながるからだ。当たり前かもしれないが、パッチ更新は普段の運用が大事であることと、そのための運用体制整備にLanScope Catが大きく貢献していることを、私たちに感じさせるエピソードだ。
また、社外にいる社員のアップデートの対応はどのようにルール化しているのだろうか。上田氏は、外出先で、テザリングでアップデートをするとパケットが消費してしまいDLも完了できないといったケースに対して、「環境に対する個別のアプローチは行っていない」と述べた上で、「社内にいてもフロアの移動などで一時的にネットワークが切れるが、その際に、きちんとリトライしてくれるかどうかが重要なポイントだ」と話す。LanScope Catであれば、接続が切れてしまった場合もゼロから配布しなおす必要はなく、レジューム機能を用いて着実にアップデートを進行することが可能だ。
三浦氏も、配布については、運用側で配布の時間帯を選ぶことが大事で、「運用の腕の見せどころの部分」だと話してくれた。
今後はどのような管理を想定しているのだろうか。
三浦氏はまず、「LanScope Catの最新バージョンへのアップデート」というポイントを挙げる。
三浦氏「Webコンソールの新たなレポートであるダッシュボードで、アップデートの状況がさらに見やすくなったと聞いています。この機能が利用できるとさらに端末管理の負荷が軽減できますので、LanScope Catのバージョンアップを行っていきたいです」
また、中西氏は、「今後は働き方改革などでテレワークへのニーズも高まる」と述べた上で、社内ネットワークに属していない端末の管理をポイントとして挙げてくれた。
中西氏「自宅などでリモートワークを行う際に、メールの送受信など、VPNに繋がなくてもアクセス可能な業務アプリもあり、VPNに接続せずにクラウドサービスにアクセスするケースは今後増えていくことが考えられます」
そうした環境では、端末管理の全てをオンプレミス上で対応することや、逆にすべてをクラウド側で対応することは機能と運用コストの点から、今のところ現実的ではないということだ。
そこで、今後はオンプレミスのキャッシュサーバーと、クラウドをつなぐハイブリッド型のエージェントというのが課題解決の一つのアプローチになってくる。
上田氏も、「端末管理の“ベストプラクティス”を標準機能としてパッケージ化してくれたら」とMOTEXへの期待を述べる。
リモートワークへの対応、あるいは先述した無線LANドライバーへの配布機能の活用など、「こういう運用管理体制、あるいは、こういうプッシュ通知のメッセージ、通知のタイミングなどで、実施率が高まるというような『鉄板施策』をパッケージ化することで、LanScope Catの可能性は更に高まっていくだろう」とのことだ。
DeNAにおけるLanScope Catの果たすべき役割は、今後ますます大きくなっていくに違いない。
LanScope Cat導入事例インタビュー連載
? 第1回 ~DeNAを支える“攻める情シス”の取り組みに迫る!~
? 第3回 ~ユーザー企業がメーカーサポートに求めるポイントとは?~