社用PC管理の問題点について考えてみたお話

企業におけるPC管理

概要/あらすじ

実務未経験から情シスに転職。

従業員約300名規模、都内に2拠点、地方に4拠点の会社(非IT業種)で上司と2名体制。

全250台程度のクライアントPCを保有しているが、台数規模では考えられないレベルでずさんな管理状態であった。

こんばんは、ばーふぃんです。

日頃から会社用PCのセットアップをやっているうちに、設定内容やルール等に疑問が出てきたので、どんな管理をしていくべきなのかを少し考えてみました。

結論、問題だらけです。

保有している250台を管理しなければいけないのですが、全く管理していないに等しいレベル。もはや家庭の延長線上という言葉が適切。

もちろんActive Directryは導入されておらず、全てWorkGroup環境である。これが根本的な大きな問題なんですけどね。

メーカーがバラバラ

Mac混在しているが、これは業務内容によって分けているので仕方ない。

が、Windowsすらも全く決まっていない。FUJITSUやTOSHIBAのような国産からDELLやらLenovoやHP等の海外メーカーまで悪い意味で多種多様。

しまいには同じ部門内でデスクトップとノートが混在している始末。用途や要件が異なるわけではないのに。

どうやら、ユーザがこれ買ってほしいという要望をただ鵜呑みにして買っていたらしい。

少人数の会社なら別にいいと思うけど数百人規模の会社でそれやらないよね、普通。

少なくとも、過去いた会社ではここまでPCのメーカーがバラバラなのを見たことがないです。むしろ綺麗に1メーカーに揃っていました(そこまで徹底出来ているところはなかなか珍しいと思いますが)。

管理上、完璧とは言わないまでもなるべくPCのメーカーを揃えるように寄せていくことはもちろん、使用用途によってノートかデスクトップのどちらを選定するかのポリシーはちゃんと取り決めておくべきです。

IPアドレスは固定されておらず全てDHCP

前提として必ずしも、DHCPでの運用が悪いということはありませんので、誤解なきようお願いします。

ただ、私のいる会社の場合、IP固定されていないことによって非常に厄介な問題が発生します。

それは、リモート対応です。

他拠点の社員からヘルプデスク問い合わせの際にリモートでPCを見たい場合、IPアドレスが分かっていればリモートデスクトップで対応することが可能です(もちろんVPNで拠点間での通信が出来ることが前提です)。

しかし、DHCPなので社員のPCとIPアドレスの紐付けが出来ないため、リモートデスクトップでの接続が困難になります。

IPアドレスを聞こうにも、ITリテラシー底辺のこの会社では、コマンドプロンプト開いてipconfig打ってくれなんて言っても無理無理。

結果的にフリーソフトを使用してリモート接続を行なっているのですが、このフリーソフトがまたPCによって入っていたり入っていなかったりで、入っていなければ一からインストールしてもらうところからスタートしなければいけないのです。非効率極まりない。

そのため、私のがいる会社のように1箇所少人数から全拠点の多台数PCの面倒を見なければいけないような体制で運用されている場合は、DHCPではなくPCそれぞれにIPアドレスを固定で割り振った方が、管理しやすいと思います。

私物持ち込み放題

上のDHCP問題にも少し関係しますが、社内ネットワークに接続した時点でIPアドレスが自動的に割り振られるので、持ち込みPCだろうが簡単に社内LANに入れてしまいます。

かつ、私物利用のルール等が全くなく、当たり前のようにあちらこちらで私物PCで業務が行われてしまっている状態です。

でもルールがないから厳しく言うことも出来ない(後で聞いた話ではあるが、案の定セキュリティポリシーは存在していなかった)。

今ではBYODという言葉もあるくらいで、私物使用を積極的に取り入れている企業もありますが、当然ルール整備あっての話です。

上司も堂々とうちの会社はBYODだと豪語していましたが、ルールなんて何もないのでこれはBYODでもなんでもなく、ただのシャドーITです。

せめて私物使用を推奨する運用にするのであれば、申請制として許可されたPCのみ固定IPを割り当てて社内ネットワーク接続を許可する、とかのルールは取り決めておくべきでしょう。

いつの間にか違う人が使っている

退職者が出た後に、その人のPCがいつの間にか違う人に譲渡されていたり、所在が分からなくなったPCに関して所有者に聞いたら「使わなくなったらから誰々に渡した」とか堂々と言ってくる輩がいたりしています。呆れました。

PCの運用フローを取り決めていない現在の体制にも問題はありますが、会社の資産をなんだと思っているんでしょうね。

使用者変更が生じる事案が発生した場合は、必ず管理者へ許可を取る運用とするべきです。

ユーザに管理者権限が付与されているため、やりたい放題

冒頭の通り、Active Directryを導入していないため、PC1台1台に、使用者のユーザアカウントと管理者アカウント(情シスがログインするために用意)の2つを設定している状態です。

しかし、ユーザアカウントの方にも当たり前に管理者権限が付与されており、ソフトのインストールだとかセキュリティ設定の変更だとかを好き勝手に出来てしまう状態になっているのです。

ちょっとPCに詳しい人であれば、管理者アカウントを削除したりすることも出来てしまいます。そうなったらもうお手上げです。リカバリメディアで初期化したり出来るんでしょうけど余計な労力。

他の会社がどうしているかは分からないですが、私が過去いた会社で業務部門に所属していた時は、フリーソフトをインストールしようとしても管理者権限のあるアカウント情報の入力を求められていたので、管理者アカウントを与えられず一般ユーザだったのだと思います。

なるべく、ユーザに管理者権限を持たせる運用はやめましょう。

アカウントの管理を全く出来ていない

Active Directryがないため、アカウントの一元管理は無理です。

かといって、他にアカウントを管理している台帳があるわけでもなく、どのPCどんなアカウントが設定されているのかも一切分からない状態です。

実際にある人のPCをちょっと見たときに、知らぬ間にアカウントが増えていたり、退職した人のPCを違う人が受け取り、その人が退職者のアカウントでそのままログオンしていたなんてことも多々。

中にはノンパスでログオンしている人もいたりで、これはあまりにも酷いです。

Active Directryでアカウント管理を出来ないのであれば、せめてExcel管理をするとか、上述のようにユーザアカウントを勝手に作れないよう管理者権限を持たせないとか、退職者のアカウントをそのまま使用させないようルールの取り決めをする等の検討が必要です。

アカウント管理は情シスにとって必須です。

ホスト名に規則が一切ない

デフォルト設定のものがそのまま入っていたり、社員の名前が入っていたりしています。

社員の名前に設定することは別に問題無いのですが、上述のように使用者が勝手に変更されたけどホスト名はそのままなんてことがざらにあるのです。

仮に使用者が勝手に変更されていなくても、わざわざホスト名の変更を使用者が変わるたびにやるのは少々面倒です。

割り当てるホスト名は、なるべく一意の値がいいでしょう。例えば、資産番号のようなものをホスト名にすれば、一発でホスト名からどの端末かを特定することが可能になります。

資産に登録されていないPCが存在していた

私がいる会社では、資産管理ソフト(IT資産管理ではない)を導入しており、そこにPCのようなハードウェアを購入の度に登録したり、使用者変更が発生したらステータスを変更するようにして管理をしています。

PCには資産番号が記入されたシールを貼り付け、資産管理ソフト上の資産番号と紐付け、機種名や使用者名、シリアル等の情報を入れているのです。

しかし、これまで拠点に直送されているようなPCとかだと、シールが貼られていなかったり、そもそも資産管理ソフトに登録されていなかったりしているPCがちょくちょくあるのです。

そうなると、もう勝手に盗まれたりしてももはや気付くことすら出来ないという状態です。

拠点直送する場合には各自でシール貼り付け等をきちんと徹底する、それが出来ないのであれば全て一度本社に納品し、情シスがシール貼り付けや資産登録まで全て完了してから拠点に送るという運用を検討した方がいいでしょう。

まとめ

管理するPCがある程度増えてきたら、運用ルールの検討は必ずやるべきでしょう。

あるいは、セットアップマニュアルを作成し、そこに納品から運用までの一連の流れを全て書いておく、というのもありです。

マニュアルの作成は重要です。

あと、Active Directryはやりましょうね・・・個人的には100台を超えたら検討した方がいいと思っています。これ以上増えてからActive Directryをやるとなると、移行がかなり大変になります。

Active Directryの導入をやれば情シスとしての市場価値は多少上がると思っているので、個人的には是非会社に今後推していきたいですが250台の移行か・・・しんどそう。