リモートワーク環境の整備やリモートでのPCやサーバー管理は、半年前には多くの企業にとって想定外のことでした。テレワークなどで予行演習している大手企業も一部ありましたが、大半の中堅・中小企業ではリモートワークに対応できるインフラが用意されておらず、苦慮したところも多かったはずです。いかにリモートでPCやサーバー、あるいはそこにアクセスする従業員の権限を管理するか。このために有効な選択肢となり得るのが、「Active Directory」です。中堅・中小企業では、導入が難しい仕組みとして認識されているため、広く普及しているとはいえない状況にありますが、ひとたび導入すれば、リモートワークやBCPに対応する堅牢なITインフラ基盤になります。ここではその活用法やメリットについてご紹介します。

IT人材不足に悩む企業にこそ必要な
Active Directory

企業や組織の規模が大きくなればなるほど、管理すべきPCの数は増えていきます。PC管理の手法としては各PCとIDとパスワードを紐づけるユーザー管理(ローカルアカウント管理)がありますが、多くのPCが存在すると、管理の難しさからミスや不正が増え、統制をとりにくくなり、セキュリティ上のリスクにもつながりかねません。こうした管理をサポートしてくれるのが、Active Directoryです。Active Directoryは、組織でITを運用し、安全に情報管理をするために作られた仕組みです。

Active Directoryを導入するのは、規模が大きな企業だけだと思っている方もいるかもしれません。しかし、実際に導入している中小・中堅規模の企業からは、「組織や職制のある企業なら、企業規模にかかわらず運用すべき」との評価が多く寄せられています。特に導入すべきなのは、IT人材が不足している企業です。なぜそれほど評価されているのでしょうか。それはActive Directoryを活用すれば、PCやサーバーに関する様々な情報や状態を一括して管理することができ、管理作業の負荷軽減やセキュリティリスクの低減につながるからです。

単なるアカウント管理ではなく
情報管理でありBCPでもある

「人やPC、サーバーが少ないからローカルアカウント管理で十分だ」と考えているのなら、情報を安全に管理するための意識が足りないかも知れません。経理の個人給与情報や人事の社員情報、あるいは取引先や顧客情報などを自由に見られる環境があってはならないことですし、ニューノーマルの時代においては、社員の心理的安全に配慮しない環境も許されません。

小規模事業者によっては、各従業員のPCに重要な情報を置き、それぞれがパスワードをかけて運用しているところもあるでしょう。しかしそれだけでは、PCが故障したり、盗難されたり、あるいは担当者に何か起きたときに、迅速な対応が難しくなります。バックアップしていたとしても、外部ディスクにコピーしているだけなら、情報漏洩のリスクも高まるでしょう。管理の煩雑さを考えてアカウント・パスワードを共用利用しているなら、管理そのものがすでに破綻しているかもしれません。逆に、きちんと運用できていたとしても、取引先や顧客情報が個人の活用にとどまってしまい、部内、全社におけるデータ活用を阻害している可能性があります。

このようにITが複雑化する中、情報を各従業員に任せて管理するのは非常に難しくなっています。それでは、どうすればよいのでしょうか。有効なアプローチの1つが、共通ファイルサーバーやシステムにデータを集め、各従業員に権限を与え、会社が認めたPCを使ってシステムやサーバーにアクセスする仕組みを作る必要があります。Active Directoryは、そうした仕組み作りを支援するためのものです。

Active Directoryを使って共有ファイルサーバーやシステムにデータを集めれば、個人でバックアップする必要がなくなります。集積させたデータをまるごとバックアップすれば、BCP対策にもなります。こうした適切な情報管理は企業としての信用にもつながるでしょう。

Active Directoryは
「ひとり情シス」や「兼任情シス」の心強い味方

Active Directoryの基本単位を「ドメイン」といいます。ドメインは、言わば大きなフォルダのようなもの。「誰がどのPCを利用していて」、「どの部署に誰が所属していて」、「どの部署がどのデータにアクセスして良いか」。こういった関係性を「ドメインコントローラー(DC)」と呼ばれる管理システムを利用し、ドメインの中に記述するのです。

Active Directoryの構築が前提になると、PCの買い方も変わってきます。個人のPCにデータを置かないことが前提になれば、大容量のディスクより小容量でも高速なSSDのほうがふさわしいかもしれません。また、メーカーや機種をできるだけ合わせておけば、よりシンプルな管理が可能になります。さらに、ファイルサーバー上で作業することが前提になれば、サーバーやネットワークの高速化が必要になるでしょう。

こういった具合に、全体の管理統制を高めるための運用を行いつつ、細かい部分の仕様と対策を考えることが理想です。これを実現するためには、大人数で担当分けをしている情シス部門より、少人数や一人で担当するほうがはるかにやりやすく、一人で回すための負荷軽減に取り組み続ければ、さほど難しいことではありません。Active Directoryは、こうした負荷軽減策のひとつ、つまり「ひとり情シス」や「兼任情シス」の心強い味方になるのです。

Active Directoryの
インストールと運用方法

Active Directoryの構築は、難しいはずだと思われる方もいるかもしれません。しかし実際には、Windows Serverのサーバーマネージャーから機能を追加(Active Directoryドメインサービス)するだけ。インターネット上でも、手順を調べることができます。その際の注意点は、Active Directoryと密接な関係にあるDNS(ドメインネームシステム)をセットでインストールしなければならないということ。これが、PCをキッティングするときのDNS設定です。

情シス部門は一般的に、「自分がどこにアクセス権があるか知りたい」というユーザーの問い合わせからの解放を目的に、Active Directoryの情報をデータベースに更新し、Webで閲覧可能にして、アクセス権の棚卸もできるシステムを作っています。

その運用も、決して難しいものではありません。ユーザーやコンピューター、セキュリティグループの登録削除とポリシー設定程度で、人が増えた場合のアカウント発行、PCが増えた場合の登録とドメイン参加ができれば大丈夫です。サーバーの場合は、Active Directoryに登録してもドメイン参加させないケースもあります。

一般的な企業なら、その程度の利用でもActive Directoryの価値を十分に得ることができます。Active Directoryにおける操作ツールの見た目も、フォルダでファイル管理している感覚と変わりません。通常運用の作業は、以下のように極めてシンプルなものです。

[1] ユーザー作成・無効化

管理する人が増えた場合のアカウント追加、減った場合の無効化・削除

[2] コンピューターの登録・無効化

PCやサーバーを登録してのドメイン参加

[3] グループ作成

共有フォルダを増やした場合のセキュリティグループの作成、共有フォルダ設定

[4] グループに対してユーザーを追加・削除

ユーザーからのアクセス要望に応えた、セキュリティグループへのユーザー追加・削除

[5] ポリシーの設定

Windowsで強制設定させる項目のポリシー設定

運用は非常に簡単ですが、アクセス権限をより厳密化でき、履歴も取得可能です。ポリシーベース(一定のルール)による集中管理も可能になり、共有フォルダや共有プリンタなどを自動設定できます。その一方で、クォータ(あらかじめ設定した上限値を超えないようにユーザーごとにハード・ディスクの使用量を管理する機能)をはじめ、きめ細やかな設定を行えることも大きなメリットです。

管理するだけの段階から
統制の段階に

Active Directoryでは、ポリシー設定も簡単にできます。階層にポリシーを設定すれば、その下にあるコンピューターにもそのポリシーを適用できるようになります。例えば、ファイアーウォールを無効にする設定をしたいときは、Active Directoryに設定しさえすれば、ドメインに参加したPC全てに反映できるということです。

これは、セキュリティ上やらせたくないことや、設定を勝手に変えられると困る場合などに有効です。これまでならPC1台ずつに行っていたキッティング作業の効率化につながるだけでなく、PCの統制も可能になります。PCを配布した後でも設定を変更できるため、管理者にとっては非常に便利な機能といってよいでしょう。グループポリシーの使用方法は、インターネットにも多数あげられているので簡単に調べることができます。対象外にしたいPCがある場合は、画面を見ながらポリシーがない場所にPCをドラッグ&ドロップすればOK。対象外のPCを探す際も非常に明確です。

このようにグループポリシーは非常に便利な機能ですが、その半面、ミスしたときのダメージも大きくなります。例えば、間違えて無効化してはいけないファイアーウォールの設定を変えてしまったら、大きなリスクにつながります。そのため、適用する際は、事前の検証が必須です。かと言って、テスト用のActive Directoryを作る必要はありません。テスト用の組織や階層を作り、自分のPCで正しく動作するかを確認した後、そのポリシーを本番階層に適用すればよいのです。実際にActive Directoryを本格的に運用し始めたら、それ自身の二重化(複製)もしておくようにしましょう。複製があれば、何らかの問題が生じた際にも安心です。

ネットワーク負荷軽減の
救世主WSUS (ダブルサス)

Windows 10 になってから、定期的な大型アップデートが行われるようになりました。一斉にアップデートされると、ネットワークがあっという間にパンクしてしまうため、厄介な問題もはらんでいます。現在、多くの企業でクラウド利用が進み、インターネットと社内間の通信量が増えているため、対策が急務となっています。さらに、大型アップデートの適用によって使用しているアプリケーション等に不具合が起きる可能性もあり、管理者としては全社展開前に検証しておきたいところです。

そういった課題を解決するために有効なのが、WSUS (Windows Server Update Services)です。これは、社内に Windows Update の中継サーバーを立ち上げ、外部とのネットワーク負荷を軽減する仕組みのこと。これにより、インターネットと社内の回線負荷が大幅に軽減され、社内PCの配信時期を制御できるのです。その恩恵を受けるために必要になるのが、Active Directoryです。

WSUSを利用する際は、PCの Windows Update をWSUSに向けなくてはなりません。個々のPCのレジストリ(PCのシステムに関する設定情報を記録したファイル)を変更すればそれも可能ですが、手間がかかる上、間違った変更をかけてしまうとPCが機能しなくなるリスクが伴います。さらに、戻すのも大変で、現実的ではありません。しかし、Active Directoryでポリシーを設定すれば、全PCの Windows Update をWSUSに向けることができ、戻すのも容易なのです。

このように、Active Directoryをインストールすれば効率化できる仕組みが増加しており、小規模事業者やIT人材不足に悩む少人数情シスにおいても、Active Directoryの導入で運用しやすくなったり、ITを活用できるようになるのです。

Azure Active Directoryとの連携で
クラウドのアカウント管理も可能に

こうしたメリットが注目され、多くの企業がActive Directoryを活用してきました。ただしその多くはオンプレミス(自社で保有するシステム)に限定されたものでした。しかし、在宅勤務やサテライトオフィスをはじめとしたテレワーク環境では、社内にいた「人」や「PC」が社外に存在することになります。また、クラウドサービスの導入など、これまでの前提そのものが大きく変わり、アカウント管理も難しくなってきました。

クラウドでも社内と同じようにアカウント管理をしたい――。そうしたニーズに応えるために用意されたクラウド上のサービスが、「Azure Active Directory」です。これは、オンプレミスのActive Directoryの情報を同期して、クラウドでも社内のアカウント・パスワードを利用できるようにするもの。Azure Active Directoryなら、クラウドのシステムのアカウントを社内と同じように利用できます。

ニューノーマル時代にあって社外からのアクセスが増えているからこそ、アカウントやPCの管理が重要になります。その重要性は、今後ますます高まるでしょう。だからこそ、仮想環境とActive Directoryの導入・運用を早い段階で定着させることが、理想的な少人数の情シス環境を実現するためのポイントになるのです。

Active Directoryは企業運営の根幹であり、
その導入効果は全社的なもの

Active Directoryは、社内のITに関わる全てのステークホルダー(経営者・エンドユーザー・情シス部門)にメリットをもたらします。

例えば、Active Directoryを運用することで、今まで紹介してきたように情シスの効率化につながります。また社員もシングルサインオンやログインの自動化など、いちいちデバイスごとに認証・設定しなくてもよくなるため、利便性が向上します。さらに、経営的な視点では、セキュリティリスクやBCP対策が実現できるほか、PCやサーバー、ストレージ、ネットワークといったコンピュータリソースが把握できることから、無駄な投資がなくなり経営的なコスト削減が見込めます。さらに、社員の価値向上や属人的な業務の排除など、間接的な効果も多数報告されています。これが、健全な企業体質を作るきっかけとなり、企業価値がさらに高まる可能性もあります。

ニューノーマル下においては、在宅やクラウド活用を進めるために、PCやアカウント、アクセス権の管理はますます重要視されます。WSUSのように、Active Directoryが前提のシステムやアプリケーションも増えており、今後はActive Directoryの導入の有無がIT活用に差を生む可能性もあるでしょう。

Active Directoryの運用に適した
PowerEdgeサーバー

Active Directoryを活用するには、それを動かすサーバーが必要となります。市場には様々なサーバーがありますが、Active Directoryの運用に適した製品の1つがデル・テクノロジーズの「PowerEdge」サーバーです。国内においても、日経コンピュータ誌「顧客満足度調査 2020-2021」のPCサーバー部門で4位にランクアップし、全5評価項目中、「運用性」の項目で第2位でした(日経コンピュータ 2020年9月3日号 顧客満足度調査 2020-2021, PCサーバー部門総合 4位 )。

なぜPowerEdgeサーバーは評価や満足度が高いのでしょうか。その理由の1つが「システム管理者の運用の手間を少しでも減らしたい」というサーバーの開発思想のもと、多彩な機能が実装されているからです。例えばiDRAC(アイドラック)は、その中にある運用管理の機能のひとつ。各種ハードウエアやログなどの情報をWebインターフェースを使って取得し、リモートで管理できます。サーバーのBIOS設定やディスクのRAID設定、ハードウエアの電源オンの操作などに加えて、テレワークの運用も可能です。

つまりActive Directoryサーバーとして導入した場合、遠隔でその運用が行えるわけです。Active Directoryを導入することで顕著なメリットが出るのは、テレワークへの対応です。テレワークは今、企業規模や業種・業態に関わらず、幅広い企業・職種に拡大しています。サーバーを設置しているオフィス以外の場所から、PCやサーバー、ユーザー権限に関する適切かつ効率的な管理を行うこと。これは、ニューノーマル時代、中堅・中小企業のシステム管理者にも求められることになるでしょう。