株式会社シスアナコム

情報システムに関することなら、どんなことでも適切に助言いたします!

この投稿は1年以上前に公開されました。
現在では状況や内容が変わっている可能性があります。
ご注意下さい。m(_ _)m

システム管理者受難の時代

      2014/06/11

概要

  • システム管理者は、様々な問題を解決するために多忙を極める。
  • 複数のシステム管理者が作業を分担して、ドメイン全体を管理するのが望ましい。
  • しかし、システム管理者は、機密データの流出が発生すれば、真っ先に疑われる立場。
  • 疑われないために、お金をかけないで責任を上司に押しつける方法を紹介する。

システム管理者のお仕事

異動があればユーザIDを発行し、組織改正があればサーバの共有を変更してデータを移動する。

パスワードを忘れたユーザがいれば再発行を行い、データを消したユーザがいればバックアップテープから復元する。

サーバやパソコンが故障すれば復旧作業を行い、故障の傾向を分析して予防策を実施する...。

Windows ドメインのシステム管理者の皆様は、このように多忙な日々を送っていることでしょう。(まだまだ、こんなもんじゃない!という人も多いと思いますが。)

ユーザ数やドメイン内のコンピュータの台数に比例して多忙になっていきます。

基本的にシステム管理者という仕事は「裏方」です。

正常に動いて当たり前、問題が発生すれば怒られるという悲しいお仕事だという見方もあります。

でも、企業の規模が大きくなればなるほど、重要度が増す仕事なのです。

システム管理者が突然いなくなったらどうでしょう?

しばらくの間は何の問題もないと思います。

しかし、何か Windows ドメイン内に深刻な問題が発生した瞬間に仕事ができなくなります。

今の時代、パソコンがなくては仕事になりません。

システム管理者が不在では復旧できないでしょう。

え?メーカの人に問題を解決してもらう?

...お金持ちな会社ですね。羨ましい。

しっかりとしたシステム管理ができる人を派遣してもらったら、かなりお金がかかりますよ。

それに、派遣されてくる人物が信用できる保証はありません。

じゃ、システム管理者を中途採用する?

...よい考えですが、仮に良い人を採用できたとしても、ドメイン内の各種設定を把握するには、相当時間がかかるでしょう。

なので、企業内の Windows ドメイン内のコンピュータが50台を超えてきたら、社内に「システム管理者」を置くべきです。

決してシステム管理の仕事だけを集中してやらせる必要はありません。

他の業務と兼任という立場で問題ありませんが、Windows ドメインの管理がどうあるべきかという勉強をする時間は与えてあげてください。

仕事は必ず2人以上で行う

システム管理者を置くなら2人以上を指名しましょう。

どんな仕事にも当てはまる話ですが、担当者が1人だけだと、その人が病気になったら終わりです。

特にシステム管理者の仕事は、忙しくてプレッシャーがかかるので、病気にもなりやすいです。(泣)

参考までに、私が勤務している会社ではシステム管理者(=ドメインの管理権限を持っている人)の数は10人です。

情報システム部門の約半数の人がシステム管理者なので、かなり多いと思います。

たぶん、システム管理者の数が多すぎるのでは?と思った人の方が多いと思います。

その考え方は正しいです。

システム管理者が多ければ便利ではあるのですが、その反面、危険性も大きくなります

データ流出への対策

Windows のシステム管理者は、基本的に何でもできます。

サーバに保存されているデータだろうが、クライアントパソコンに保存されているデータであろうが、見るのも、持ち出すのも、改ざんするのも簡単。

ホストコンピュータだと、もう少し権限を分けることができるのですが、Windows のドメイン管理者は(何らかの特殊なソフトウェアをインストールしていない限り)ドメイン内のコンピュータに対しては、何だってやり放題なのです。

おお怖い。(ちょっと言い過ぎかも)

もし、あなたの会社のシステム管理者がちょっと悪い心を持ってしまったらどうしますか?

データの持ち出しなんて簡単。

操作ログを取ってる?

たぶん、システム管理者は操作ログを回避する抜け道なんか熟知してます。

サーバに鍵をかけてる?

LANケーブルが接続されていれば十分です。

聖人君子のような人がシステム管理者なら大丈夫でしょうが、人間は弱い生き物です。

誰だって悪の道にはまってしまう可能性が十分にあります。

疑われないために

...というように、システム管理者は会社の上層部から疑いの目で見られます

特に、最近はデータ流出事件が頻発しています。

今はまだ1人あたり500円の金券とかで済まされていますが、将来的には、より大きな金額の損害賠償を裁判で請求されたりするという可能性もあるでしょう。

そこで、上司を安心させ(と言うよりも責任を上司に押しつけ)、システム管理者を悪の道から守り、お金がかからないという方法を紹介しますので、参考にしてください。

  1. 数人の上司にドメインの管理者アカウントを作成する。
  2. その上司たちに「Active Directory ユーザとコンピュータ」の使い方だけを教える。
  3. システム管理者の管理者アカウントを全て無効にする。
  4. システム管理者が管理者アカウントを使う場合は上司に申請する。
  5. 上司はシステム管理者から申請があったら、管理者アカウントを有効にする。
  6. 可能ならば上司はシステム管理者の操作を背後から見守る(=監視する)

上司が Windows ドメイン について詳しくないことが必須条件です。

つまり、上司は常に管理者権限を所有しているが操作方法を知らなくて、システム管理者は Windows ドメインについての知識は豊富だが、上司の許可なく操作する権限がないという状態を作り出すのです。

これで、データ流出が発生しても、システム管理者が疑われることはないと思います。

上司は責任を負うことになりますが、通常のシステム管理作業を行う必要はありません。

これで、上司とシステム管理者の間に良好な関係を築くことができるでしょう。

ただし、1つ問題があります。

それは、上司が全員不在の時にどうするかということです。

対策としては、万一のための管理者アカウントとパスワードを作成し、紙に書いて袋に詰めて封印して、金庫などに厳重に保管しておきましょう。

どうしても管理者アカウントが必要なときのみ使ってもよいということにします。

一度でも使ったら、パスワードを上司が変更して、また保管しておきます。

もちろん、私が勤務している会社でもこの方法を採用しています。

10人のシステム管理者の内、3人が上司で、残りの7人が本当のシステム管理者です。

 - ひとこと, ひとこと(情報化)

↓ブログランキングに参加しています!


ネット・PC(全般) ブログランキングへ
にほんブログ村 IT技術ブログ ITコンサルティングへ
にほんブログ村

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です