このページの本文へ

前へ 1 2 次へ

「見える」からわかる!システム障害の原因をあぶり出すテク ― 第4回

私物のスマホやタブレットの利用を許可しながら監視の目を光らせる

「UDT」で持ち込みデバイスのネットワーク接続を監視する

2015年10月29日 14時00分更新

文● 大塚昭彦/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

「私物デバイス」の持ち込み対策は必須、だけど……

●今月のトラブル発生!
 スマホやタブレットが普及したことで、わが社でもオフィスに持ち込まれる私物デバイスが増えている。一応、社内ルールでは“業務利用禁止”であり、IT管理者として「せめてWi-Fiにはつながないで!」と何度もお願いしているのだが、それでも勝手につないでいる社員がいるようだ。特に、外出の多い営業部ではそういう社員が目立つ(営業部長を筆頭に……)。

 さらに、社内のどこかから、見たことのないSSIDでWi-Fiの電波が飛んでいる。誰かが無断で無線LANアクセスポイントを持ち込んでいるようだ。

 業務効率の向上を考えると、これまでのポリシーを変えて、持ち込みデバイスのWi-Fi接続を許可してもいいのかもしれない(もちろん、アクセスポイントの無断設置は許さないが)。だが、まったくの“野放し”にしてしまうのは問題がある。外部監査や法令順守を考えて、管理者としては最低限、監視の目は光らせておかなければならない。

 大きなコストをかけず(できれば手間もかけず)、そんなことが実現可能だろうか?

 この数年間で、オフィスに持ち込まれるネットワークデバイスの数は格段に増えた。スマートフォンやタブレットを自ら購入し、常に持ち歩く社員が増えたからだ。

 こうした私物デバイスは、プライベートな用事だけに使われるとは限らない。仕事のメールを私物スマホでやり取りしたり、客先でのプレゼンや簡単な資料作成などを私物タブレットで済ませたりするような人は少なくない。実際、こうした“いつでもどこでも”なクライアント環境は、より柔軟なワークスタイルを実現し、業務効率アップにつながる。

 とはいえ、IT管理者としては困る。きちんと定めた社内ルール(ポリシー)に基づく「BYOD」であればいいが、何のルールもなく、なし崩しに拡大していく「シャドーIT」は好ましくない。ガバナンスが効かず、万が一、情報漏洩や社内へのマルウェア侵入などの事故が起きた場合、原因調査や責任追及が難しくなる。外部監査にも対応できないだろう。

スマートフォンなどの持ち込みデバイスが増えたことで、IT管理者の苦労のタネはまたひとつ増えた……

 こうした課題を解決するためには、たとえば社内ネットワークへの接続制限、MDM(モバイルデバイス管理)ソリューションの導入といった手段が考えられる。だが、いずれも導入にはコストも時間もかかり、サポートも必要だ。そもそも、全社で何台くらいの私物デバイスが接続されているのか、まずは現状を把握できなければ導入規模もわからないだろう。

 外部監査対応においても、社内ネットワークの状況がどうなっているか、どこにどんなエンドポイントデバイスが接続されている(いた)かを可視化、記録していることが大切だ。

社内LANの接続デバイスが「見える」、ユーザーデバイス・トラッカー

 野放しではだめ、かといって制限が厳しすぎてもいけない。管理者として最低限の監視をしたい。こうした場面で役に立つのが、ソーラーウインズのネットワーク管理ソフトウェア「ユーザーデバイス・トラッカー(UDT)」だ。

「ユーザーデバイス・トラッカー(UDT)」のダッシュボード画面。LAN内に接続されたデバイス情報が俯瞰できる

 そもそもUDTは、有線/無線を問わず、社内ネットワークに接続されたあらゆるエンドポイントデバイスを自動的に検出し、接続状態を可視化するソフトウェアだ。スマホやタブレットだけでなく、PCやサーバーも対象である。また同時に、それらの“接続口”となっているルーターやスイッチ、Wi-Fiアクセスポイントといったネットワーク機器の情報も収集する(これらのネットワーク機器は「ノード」と総称される)。

 他のソーラーウインズ管理ツールと同じように、UDTもエージェントレスで動作し、様々なベンダー製のデバイスに対応している。UDTをインストールして「オートディスカバリー」を実行すれば、社内LANに接続されているエンドポイントデバイスとノードを自動検出する。

オートディスカバリーの際、デバイスのMACアドレスに基づいてベンダー名が自動判定される

 検出されたエンドポイントデバイスをドリルダウンすれば、MACアドレス、IPアドレス、ホスト名、接続先ノードとポートもしくは接続先無線アクセスポイントのSSIDを履歴として、トレースできる。また、Active Directoryと連携させることで、そのデバイスを使ってドメインにログオンしたユーザーの履歴も取得できる。

エンドポイントデバイスの詳細情報画面

 一方、ノードのほうでは、各ポート/アクセスポイントに接続されているデバイスのIPアドレスやMACアドレスが表示される。そのポート/アクセスポイントに対する、過去の接続履歴も参照可能だ。

ノードの詳細情報画面。ポートごとの情報や、過去のトラフィック履歴なども表示される

(→次ページ、“はぐれ者デバイス”だけを注視するための機能

前へ 1 2 次へ

この連載の記事