情シスの困りごと(環境管理編)

2019年12月17日公開

これはドリコム Advent Calendar 2019の17日目です。
16日目は irohiroki さんによる、マスターデータ変換処理の高速化です。

はじめに

情報システムグループの田中です。
ドリコムでは2018年の1月から情報システム部門にて
ヘルプデスク担当者からシステムの更改などを中心にいわゆる”情シス”のお仕事
を全般担当しています。

今回は、ドリコムの情シス担当になって困ったこと、そこから気が付いたことを
情シス視点で紹介させていただきます。

ドリコムへ入社するまで

ドリコムへの入社前はざっくり3000~10000人規模の情報システム部門担当者として働いていました。

それぞれどんな環境だったかというと

某なんでも事業会社時代

・ActiveDirectory(以下AD)環境下
・資産管理ツール導入済み
・ADや資産管理ツールを活用した資産管理
・ファイルサーバーは社内にオンプレミスで存在
・メール基盤はOffice365を利用しWindowsOSが大半

某専門商社時代

・AD環境下
・資産管理ツール導入済み
・Excelと資産管理ツールを活用した資産管理
・ファイルサーバーは社内にオンプレミスで存在
・メール基盤はOffice365を利用しWindowsOSが大半

といった環境でした。

いずれも環境としてはほぼ同じような環境で
勤めてきた企業規模だとだいたいどこの会社も同じような環境だと思います。

話を進める前に、2つの用語についてざっくりとした説明をしておきます。

ActiveDirectory

Windowsサーバーに搭載されている機能の一つで
主に同一ネットワーク内のユーザーやPCを一元的に管理する目的の仕組みです。
管理者視点では例えばセキュリティポリシーの配信や、PCのログインパスワードをリモートで設定管理できるので作業負担が軽減されます。
ユーザー視点ではどのPCからでも自身のユーザーでログインができ、連携がなされていれば各サービスにもシングルサインオンができるなど利便が向上します。

資産管理ツール

社内の端末やライセンスなどIT機器に関する資産を管理するツールで、
いろいろな製品が世の中にはありますが、有名なところで言うと藤〇竜〇さんがCMをやっている製品などです。

・各端末にどんなソフトウェアが入っているかわかる
・今どのユーザーでPCにログインしているかわかる
・外部記憶媒体の接続制限や脆弱性が認められた製品の利用抑制ができる

などの機能を有していることが多く
どちらかというと管理者利便や企業都合で導入されるツールになっています。

ドリコムに入社してから

さっきまでの話の流れで、おそらく気づかれると思うのですがドリコムに入社すると

・非AD環境
・資産管理ツール導入なし

という環境で情シス業務をすることになります。

これでは今までやっていたような管理方法が活用できないし
ノウハウも活かせない。参った。

困ったその１：アプリケーションのばら撒き及び連絡

セキュリティソフトの入れ替えをする際に困ったポイントです。
AD環境下であれば、ログオンスクリプト(仕組みを仕込んでおくとPCログイン時に処理をしてくれて便利なもの)での配布など
資産管理ツールであれば、製品の機能を利用し配布など、方法はいくつかあり
事前に全体周知さえしておけばうまくいくものでした。
今回の場合、入社して間もないこともあり社内文化がいまいち理解できていなかった私は片っ端からチャットでインストールのお願いをするのでした。

困ったその２：共通のポリシー設定

Windowsキッティング (セットアップ作業) 時に困ったポイントです。
入社した際のインストール手順は、人の手を必要とする設定が多く手順にありました。
それらはADの機能を利用して出来るものが多くあり
単純な作業ではあるのですが、工数としてはそこそこ取られていました。

困ったその３：膨大な端末/ソフトウェアライセンスの管理

端末/ライセンス管理で困ったポイントです。
資産管理ツールがないことに加えて今までの業種と比べ扱うライセンスが段違いに増えました。実務利用をしたことがない、初めて見るソフトウェアのライセンス管理をスプレッドシートによって台帳管理を行っていたため、
ソフトウェアライセンスの管理上の処理 (付け替え、割り当て、回収) に手間がかかったり
人名の漢字間違え、半角/全角スペース混在などデータ不揃いで棚卸にも一苦労していました。

困ったことに対して取り組んだこと

多分みんなできれば楽をして生きていきたいと思っていると思います。
私もその一人です。できる範囲で自動化や効率化に取り組んでみました。

取り組みその１：個人にあてた定型文連絡などを自動化

同一文面を大量に送るといった単純な作業が多かったので
PowershellとSendkeysを活用してポチポチ業務を自動化しました。
イメージはRPA*に近いです。「powershell 自動化」と調べるとたくさん出てくるので細かい説明は今回省略しますが”Chromeの起動”をするところまでを記載しておくので、興味がある人は試してみてください。

*定型業務の自動化などを行う業務効率化ツール Robotic Process Automationのこと

#Windowsキーを押す
[System.Windows.Forms.SendKeys]::SendWait("^{ESC}")
#"run"と入力
[System.Windows.Forms.SendKeys]::SendWait("run")
Start-Sleep -s 1
#Enterキーを押す
[System.Windows.Forms.SendKeys]::SendWait("{ENTER}")
Start-Sleep -s 1
#"chrome"と入力
[System.Windows.Forms.SendKeys]::SendWait("chrome")
#Enterキーを押す
[System.Windows.Forms.SendKeys]::SendWait("{ENTER}")
Start-Sleep -s 1

取り組みその２：キッティングのイメージ展開

WindowsOSのキッティングに関してはSysprepを用いたマスターイメージの作成/展開をすることで効率化を図りました。
サーバーからの複数台展開という方法もありますが、規模と準備の事を考えると
物理的なスペースさえ確保できれば大量展開もそう難しくないのでUSB経由での展開としています。

参考記事
Sysprep (システム準備) の概要
DISM を使ったハードディスクパーティションのイメージのキャプチャ
DISM を使ったイメージの適用

取り組みその３：スプレッドシート運用からの脱却

PC、ライセンスの資産管理に関して
WebベースのOSSであるSnipe-ITでの運用に変更しました。
付け替え、割り当て、回収の操作が画面内に用意されておりLDAPとの連携が出来るので
ユーザー情報の表記の揺れや誤植問題が解決されました。デモ環境も提供されているのでゴリゴリ台帳管理に困っている方は見てみてください。
https://demo.snipeitapp.com/login

気が付いたこと

ADを利用しなくてもやっていける

ほとんどの企業で導入されている仕組みですがドリコムの環境においては
利用しなくても工夫次第でやっていけると気が付きました。

・IDaaS製品がある

あらゆるアプリケーションへの認証を
Oneloginに寄せているためユーザーID管理に関して言えば

アクセス権限の設定
IDパスワード管理
アプリケーションへのアクセスログ取得

などが出来ており最低限の機能は有しています。

・SaaS製品の活用

クラウド管理型のセキュリティソフトの利用や
ファイルサーバーとしてBOXを利用していたりとSaaS製品を幅広く導入しています。
これらの製品の機能を活用し各システムで

操作ログの取得

が実施出来たり、セキュリティソフトの機能を利用し

セキュリティアップデートのプッシュ配信

が出来るようになっています。

それでも困ること

目の前の困ることは片付けながら運用していますが、それでも困ることは管理者視点でいくつかあります。

・操作端末特定に工数が非常にかかる。
・WindowsとMacが半分くらいの割合で存在しているためツール選定が難しい。
・SaaS製品を利用することで使用する端末自由度が高く利便面とセキュリティ面を担保しながらどう制御していくか。

特にこれから働き方を自由に選択できるような仕組みを考慮する際にそれらが求められるように感じます。