クラウド型セキュリティ製品の導入事例

「Managed Total Protection」は「SaaS Endpoint Protection」の旧製品名称です。
掲載内容、企業およびご担当者のプロフィールは取材当時のものです。
現在は変更されている可能性もございますのでご了承下さい。

JALインフォテック

■業種:運輸 ■導入製品:Managed Total Protection ■導入台数:-台



今回はJALインフォテックの先進事例をご紹介します。JALインフォテックは、マカフィー製品のエンドユーザーであると同時に販売パートナーでもあります。また、同社製のネットワークPC管理ツール、パレットコントロールは既に多くの官公庁や大企業に採用されております。実はこのパレットコントロール、マカフィー・ウイルス対策製品との相性が非常によく、互いに機能を補完しあうような位置づけにある製品です。今日は、そのパレットコントロールについてパレットコントロールグループの関谷様にお伺いすることにしました。ちなみにJALインフォテックはもちろんマカフィーユーザーです。


-- まずシンプルな質問から始めたいと思います。パレットコントロールって何ですか?

一言で言えば「ネットワークPC/IT資産管理ツール」です。ネットワークPC/IT資産管理ツールにおいては、インベントリ管理系とアプリケーション配布系の2通りがあります。パレットコントロールではどちらも可能ですが、どちらかといえば、アプリケーション配布に強いツールです。

-- JALインフォテックは、日本航空の情報システム子会社としてスタートしています。もしやパレットコントロールは元々は日本航空の社内システムですか?

はい、そうです。日本航空の場合、数万台ものPCが全国各拠点に散在しています。航空業務ネットワーク内のPCですからミッションクリティカルでもあります。ですから社内システムであるとはいえ、この厳しい環境で通用した物は、他の会社に適用しても十分実用に耐えうるものなのです。

-- なるほど。さて、パレットコントロールを使えば、マカフィーのウイルス対策ソリューションをさらに「補完、強化」できると聞き及んでおります。具体的にはどんな点が補完されるのですか。

簡潔に言えば、1):マカフィー製品のインストール(および他社製品のアンインストール)、2):脆弱点補強のためのセキュリティ・パッチの自動インストール、3):トラブルシューティングの自動化、などです。ウイルス定義ファイルやエンジンの更新も広義のアプリケーション配布ですので、パレットコントロールで行うことも可能ですが、定義ファイルの配布状況のレポート管理やウイルス検出状況の一覧といったことになると、やはりePOの方が特化している分、優れています。餅は餅屋ですね。


さて、本日は、パレットコントロールの機能を中心に語るのではなく、実際の導入実績を中心に語って行きたいと思います。

-- 宜しくお願いします。

パレットコントロールは現在、多くの企業や官公庁・地方自治体にも導入されております。この前、e1000とePOの導入事例で平塚市様が紹介されておりましたが、平塚市様でもパレットコントロールをご導入いただいております。


では、その中でManaged Total Protection4,000台をご導入いただきました某大手企業(以下、A社)での運用例をご紹介させていただきたいと思います。A社の場合は他の製品からの乗換えだったのですが、ここでパレットコントロールを活用しました。A社はもともとパレット・ユーザーだったのです。

-- どのように活用したのですか?

まず社内PC2,000台のネットワーク一斉配布に使いました。続いて、各拠点の仮設ネットワーク用PC約2,000台におけるCD自動インストールで活用しました。A社の業務上の特徴として、イベントごとに拠点が移動・改廃されます。それに伴いネットワークも移動・改廃されるので、設営の簡便さというのは非常に重要なのです。

-- まず社内2,000台への一斉配布ですが、これは文字通りの自動配布ですか。

はい、そうです。「人間が現場に出かけて作業をする」ことが無い、これ実現を目指しました。

-- 『人間が出かけて作業する事態』が発生しない。。。。。と言うと、インストールとかネットワーク構成変更の時などに、情報システム部の人が来て、「すみません、15分ほど席を空けてもらっていいですか?」とか、そういうことはA社では発生しなかったということですか?

はい。我々が提供するパレットコントロールでは、このようなことが本当に実現可能です。


-- その一斉配布の際に、元々入っていた他社製品のアンインストールをして、それからManaged Total Protectionのインストールを行ったわけですか?

そうです。

-- その「他社製品のアンインストール」についてですが、Managed Total Protectionにも「他社製品アンインストール機能」が標準でついています。わざわざパレットコントロールを持ち出さずとも、Managed Total Protectionの標準付属機能を使っても良かったのではないかと思えるのですが。。。。。

まず他社製品のアンインストール機能ですが、Managed Total Protectionの場合、アンインストールできる他社製品に制限がありますよね。A社が導入済みの他社製品はManaged Total Protectionの標準機能ではアンインストールできないものでした。そこで、パレットコントロールを使って自動アンインストールを行ったという訳です。

-- あ、そうなんですか。なるほど餅は餅屋ですね。そういうことであればお伺いしたいのですが、Managed Total Protectionの他社製品アンインストール機能の場合、実は100%の成功ということが保証されません。というのもManaged Total Protectionの他社製品アンインストール機能は、他社製品のアンインストーラを呼び出す仕組みです。この仕様の場合、OSによってはうまく作動しないことがあります。

例えば以下のような特殊な場合です。
1): Windows 95マシンに、Windows 95対応のワクチンソフトを導入する。
2): その後、OSだけWindows MEにバージョンアップする。
3): ワクチンソフト付属のアンインストーラを動かす。アンインストーラはOSとしてWindows95を想定している。

この環境のマシンではManaged Total Protectionの他社製品アンインストール機能はもちろん正常作動しません。だって実際に動いているのは、その「他社製品」のアンインストーラですから。さて、パレットコントロールですが、こうしたややこしい状況の中でもきちんと他社製品をアンインストールできるのですか?


できます。パレットコントロールの本質というのは、人間が手で行う作業をスクリプトにして自動実行するというものです。ですから、人間が手でアンインストールできるのであれば、それはパレットコントロールで対応可能です。パレットコントロールにしても製品のアンインストーラを起動させているという点は同じですが、それだけではすまない細かなレジストリ削除まわり。ここをスクリプトで自動化できるのが、パレットコントロールの最大の強みです!

-- なるほど。でも、手作業をスクリプトに落とし込む作業、つまり最初の一撃が面倒くさそうですね。

最初からスクリプトを作成するのであれば、それは大変ですが、しかしたいていのケースについては、弊社に蓄積されたサンプルスクリプト(テンプレート)を流用すれば対処できます。

-- あ、そうか。これまで色々な会社がパレットコントロールでマカフィー製品を展開しているわけで、ということは、御社にその経験値が、テンプレートという形で着々と蓄積されるわけですね。

そういうことです。


-- 今、ふと思ったのですが、パレットコントロールの本質が、「人間が手でやる作業をスクリプト化する」というのであれば、何もワクチンのアンインストールに限らず、あらゆるPC設定作業が自動化できるのではないですか?

そのとおりです! よくぞ気づいてくれました(笑)。先ほど、おっしゃっていた「情報システム部の人がやってきて、15分ほど席を外してくれと言って、PCをガチャガチャいじって去っていく」というあの作業。あれは全部パレットコントロールで自動化できます。ソフトウエアのインストールやアンインストールや、IPアドレスなどネットワーク設定や、MS Officeの各種設定から何から、この際、単純化して言ってしまえば、およそ人間が手作業でできる作業であれば、すべてパレットコントロールで処理可能です。

-- つまり、パレットコントロールを使えば、情報システム部の人がマシンを全台巡回してインストールや設定変更などなど単純作業を繰り返すようなことはなくなる、ということですか?

はい、そうです。もう作業で社内を歩き回る必要はありません(笑)。
-- 実際、弊社のお客様で、システムの変更などの際に各拠点に出向いて、手作業でソフトウェアのインストールやネットワークの設定作業などをされたお客様がいらっしゃいます。これはパレットコントロールを使えば、簡略化できたのでしょうか。

システム詳細を伺わない限り確たる事は言えませんが、パレットコントロールが貢献できる要素は多分にあると思います!パレットコントロールを使えば、中央から一斉に設定変更ができますね。

-- でもこの場合、ネットワーク設定の変更のために、みなさんが各拠点を巡回して設定を変更したわけです。ネットワークを通じて中央から一斉配布といっても、そのネットワークがまだ確立していないわけですから、これは話の順番として無理があると思うのですが。。。。。

それでしたら、設定変更スクリプトなどの一式を仕込んだCDを活用すれば良いでしょう。人間の専門家が巡回しなくても、CDを巡回させるだけで済みます。

-- え、パレットコントロールってネットワーク無しでCDだけでも動くんですか?

はい、動きます。パレットコントロールの場合、アプリケーション配布ツールといっても、別にネットワークを前提としているわけではありません。ネットワーク経由にて配布が難しい場合には、このCDを使ったオフラインインストール方式をご紹介しております。お客様からは大変ご好評をいただいております。


-- 各拠点の一般職員にCDを渡して作業してもらうということですか?でもみなさんが必ずしも、PC操作に習熟しているとは限りません。極端な話、SETUP.EXEをクリックするというだけでも抵抗のある方が多くいらっしゃいますし。。。。

そうですね。でもパレットコントロールのCDの場合、オートランで動くから大丈夫です!

-- オートランですか! ということは、私が一般職員であるとして、ある日CDが送付されてきて、何か良く分からんが、そのCDを挿入すればそれでいいらしいということで、言われたとおりやって見たら、PCが勝手にガチャガチャ動いて、何かクリックしたり操作したりすることは何もなく、気がついたら設定終了、とそういうことですか?

はい、そうです。


-- これにより、Managed Total Protectionのインストールのみならず、ネットワークの設定変更からIEのバージョンアップから、脆弱点パッチの修正から何から何まで済んでしまうと。。。

そういうことです。手作業で設定できることでしたら、パレットコントロールで自動化できます。ここから繰り広げていけば御社製品と組み合わせることにより、実に色々なことが可能になります。ざっと思いつくとすれば以下のとおりです。

1):Managed Total Protectionの展開と同時に、他社ウイルス対策製品の事前アンインストールはもちろんのこと、IEのバージョンアップや、セキュリティパッチのインストールもまとめてやってしまう。
2):(1とは逆に)各種ネットワーク設定変更などある時には、そのついでにManaged Total Protectionも展開してしまう。
3):大型ウイルス感染などでネットワーク遮断を余儀なくされたマシンにおいて、駆除ツールの自動起動や、レジストリ修正、セキュリティ・パッチのインストール、IEのバージョンアップなど、いわゆる「修復作業一式」をCDで行う。
4):Managed Total ProtectionのFAQに載っているトラブルシューティング手順を自動化してしまう。

-- いずれも素晴らしいですが、3が特にいいですね。ウイルス感染マシンというのはたいていネットワークから強制遮断されます。この時、ネットワーク抜きでCD単体で動くというのは素晴らしいです。

ほとんどのウイルス対策製品はネットワーク依存型ですが、ウイルス感染の「実際現場」においてはネットワーク遮断は頻発事です。この時には、パレットコントロールのオートランCDによるオフラインインストールがお客様のお役に立てると思います。


-- 4のトラブルシューティング作業の自動化というのも言われてみれば目からウロコですね。ところで、どうしてManaged Total Protectionなのですか? 他の製品でも自動化は可能だと思うのですが。。。。。

確かにトラブルシューティングということであれば、Managed Total Protectionに限らず、ePOでも他の製品でも何でも適用できます。ただManaged Total Protectionの場合、全自動というのが基本仕様の製品です。ということはユーザーの皆様は必ずしもコンピュータに詳しくないと思うんですよね。御社の導入事例を見ても、「全自動で何もしなくていいので楽」という感想がほとんどですし。

-- 確かにそうですね。

ところが、そんなManaged Total Protectionなのにいざトラブルが起きたときの復旧手順になると、結局、他の製品と同じで、PCの専門知識が必要になってしまうようです。これはいたし方のないこととは思いますが、やっぱりお客様にとっては落差が大きすぎるんじゃないかと思えるのです。

-- た、確かに。。。。。

ですので、そこのところの落差はパレットコントロールで補えるのではないかと思うわけです。つまり、何かトラブルが起きたとしても、アプリケーションを一斉配布するのと同じ感覚で、復旧手順スクリプトを一斉配布して、PC全台のトラブルを一気に解決してしまえばいいというわけです。

-- なるほど。アプリケーション配布の自動化は、トラブル処理の自動化にも転用できるということですね。

はい、そうです。


-- さて、続いて、セキュリティパッチの配布なのですが、さっき気になることをおっしゃっていましたね。「セキュリティパッチは適切に当てないと機能しないとか何とか。。。。。。。

通常の感覚ですと、MS03-26脆弱点に対応するにはMS03-26パッチを当てて対処完了。。。。。と皆さん思ってらっしゃいますよね。でも実際はそうではないのです。

-- と言いますと?

実はマイクロソフトのパッチというのは状況によっては、一度に複数当てなければならないのです。

-- 複数のパッチを一度に当てなければならないとは知りませんでした。。。。

しかもその種類は、OSごとにちがいます。

-- OSごと! つまりXPとNTと2000では、パッチを当てる種類が違うということですか?

はい、そうです。さらにそのOSにSP1が当たっているのか、いないのかによっても異なってきます。

-- あまりの複雑さに嫌になってきました。。。。となると、一般企業の人が、「ウチはMS02-26脆弱点対応は済ませました。パッチを当てましたから」と言っているのは、どうなるのですが。。。。。

本当はまだ他にも当てなければならないパッチが当っていないかもしれませんね。。。。


-- 私の自宅のPCもWindowsUpdateに安直に対応しているだけでは駄目なのでしょうか?正しく当てないと駄目ですか?

一般家庭のマシンでしたら、そこまで神経質になる必要はないと思います。一方、ミッションクリティカルな業務を行う企業マシンにおいては、やはり、適切に当てることが推奨されます。

-- ちなみにその「正しく」というのはパレットコントロールを使えば実現するのですか?

弊社ではマイクロソフトのパッチ発行に常に目を光らせています。マカフィーのAVERT研究チームが最新ウイルスに目を光らせているのと同じです。ですから、パレットコントロールをお使いいただければ、「パッチの適用」を自動的にかつ正確に行っていただけます。

-- その場合、お客様は「パッチの勉強」というのはしなくても良いわけですよね。

そうかもしれませんね。「勉強」は代って当社がいたします(笑)


-- 最後に、お伺いしたいのですが、いろいろお話を聞いて、パレットコントロールが素晴らしいのは分かりました。でもそれだけ素晴らしい機能を持っているとプログラム容量も大きそうというか、常駐してメモリ食いそうというか。。。。。

大丈夫です、その心配はまったくありません。パレットコントロールはメモリに常駐しません。起動時にプログラムが動くだけで、仕事を終えたらメモリから去りますから、余計なトラフィックは発生しません。ちなみにサーバ上でもプログラムは起動しません。サーバにはファイルが格納されるのみです。

-- うーむ、これは恐れ入りました。これからもどんどん改善して優れた管理ツールを作っていってください。今日は貴重なお話をありがとうございました。


取材日:2004年2月

※上記の使用感がすべてのお客様で実感できることを保証するものではありません。詳しくは弊社パートナー、弊社営業、またはこちらまでお問い合わせください。

トップへ戻る