システムインテグレーター
リコーグループは約200の国と地域で事業を展開しています。世の中の役に立つ新しい価値を生み出す製品―複合機(MFP)やプリンターなどのオフィス向け画像機器、プロダクションプリンター、サプライ製品、デジタルカメラ、またサーマルメディア、半導体、FAカメラなど産業用製品―さらにマネージド・ドキュメント・サービス(MDS)、ITサービスなどに至る幅広いサービスやソリューションを提供しています。
2016年、リコーグループ国内13社のITインフラ標準化を図るためにリコー・リコージャパン株式会社のITインフラ部門を統合しました。直面する経営課題は「ITコストの削減」「セキュリティ対策の強化」「コンプライアンスの遵守」があげられ、それに対応するためにIT関連ツールの統合を検討することになりました。そのなかでも特に重要なIT資産管理についてツール検討を行い、各社で実績のある2製品に絞り、比較を行いました。
「SKYSEA Client View」を導入することに決めたポイントは、「直感的な操作性」・「リモート操作機能の充実」・「Windows10対応」・「大規模環境にも対応」・「柔軟なサポート」・「働き方改革への対応」になります。また、リコージャパンが2010年の経営統合時に「SKYSEA Client View」をPC約3万台に導入して着実に効果を創出し、7年の運用実績があったことからリコーグループ全体の経営課題にも対応できる期待効果を見込めたからです。収集したIT資産情報に基づいてPCの用途を把握し、大幅な台数の削減を実現したり、USBデバイスの制御によって情報漏洩対策を強化したりと、さまざまな効果をあげていたことを評価しました。
一方でリコーグループ全体に展開するとなると、5万台以上の膨大なPCを管理する上でシステム設計・サーバー構成の検討が必要でした。そこで「SKYSEA Client View」のマスターサーバーの上位に複数のマスターサーバーを統括する「グローバルマスターサーバー」を置き、5万台以上でも問題なく運用できる環境を構築することになりました。準備期間は、予算を申請した2016年度末から2017年度中の運用開始までと限られていましたが、環境構築もスムーズに完了し、無事に年度内に運用をスタートすることができました。現在は、5万台以上のPCをリコーデジタル戦略部で一元管理しています。
近年、注目が集まっている「働き方改革」についても、当社では以前から、長時間労働の抑制やサービス残業の禁止などを経営課題の一つとして取り組んできました。特に「SKYSEA Client View」を活用してきたリコージャパンでは、2011年からクライアントPCの電源ON / OFFのログと勤怠システム上の記録を照合しています。
働き方改革では、長時間労働の抑制と実際に業務を行った時間をどうやって的確に把握するのかが課題となります。具体的には、勤怠管理上の残業時間を削減するために自宅や外出先などで仕事をして帳尻を合わせるといった、いわゆる「サービス残業」への対策があげられます。リコーグループではサービス残業を禁止しています。しかし、事実に基づく記録を残していなければ、本当にそのルールが順守されているのかを客観的に証明する手段がありません。
そこで、リコージャパンでは「SKYSEA Client View」の操作ログを「客観的な記録の一つ」として活用し、勤怠 / 就業管理システムの記録と「SKYSEA Client View」の電源ON / OFFのログをそれぞれエクスポートし、データベースに集約した上で本人が申告した時間と記録された時間とに差異がないかをチェックしています。
リコージャパンの一部支社では、残業を行う際に上司に対して勤怠 / 就業管理システムからの事前申請以外に「残業時間お知らせメッセージ」機能からも事前申請することをルール化し、不必要な残業の削減に取り組んでいます。
具体的には終業時刻(定時)に合わせて「残業時間お知らせメッセージ」をクライアントPCに表示しています。事前申請を行わないと「PC操作ロック」・「ネットワーク遮断」することもできるので事前申請率の向上につながり、それに伴って平均残業時間も減少し始めています。
リコーグループでは働き方改革の推進に伴って、社外でのPC活用が増えてきており、デスクトップPCからノートPCへの置き換えが急ピッチで進んでいます。
テレワークなどによりPCを社外で使用することは、盗難や紛失などのインシデントを引き起こすリスクがあります。そのため、ノートPCに対してハードディスクの暗号化を必須としています。以前は有償の暗号化ツールを利用していましたが、ノートPCのOSをWindows 10に統一するタイミングで、Windows 10標準の暗号化機能「BitLocker」へ切り替えたいと考えていました。
しかし、「BitLocker」はPC個々での管理が基本となっており、全社で一元的に管理する仕組みがありません。
ハードディスク暗号化の適用状況が確認できなければ、PCの盗難や紛失などのインシデントが発生した際、そのPCがきちんと暗号化されていたかを確かめる方法がありません。また、暗号化の解除キー(回復キー)は個人管理となっており、本人が失念した場合はアクセスができなくなります。そのため「BitLocker」を一元的に管理する仕組みが必要でした。
そこでSky社に「SKYSEA Client View」の機能で一元管理ができないか相談したところ問題として共有され、バージョンアップの際に標準機能として「ドライブ暗号化情報確認」が搭載されました。このようなSky社のエンドユーザー目線での迅速なサポート体制を高く評価しております。
また結果として、従来の有償暗号化ツールの使用コストが必要なくなり、経営課題の1つである「ITコスト削減」が実現できました。
OSの脆弱性を放置してしまうと、重大なセキュリティインシデントにつながる可能性があります。
Windows10では大型アップデートを適用することが重要になります。しかし、社内システムとの相性などにより不具合が生じる恐れもあるため、リコーグループでは社内で検証を行った後に大型アップデートの適用を行っています。
クライアントPCの脆弱性対策には、OSのビルド番号を確認して、適用時期を把握することが必要です。また、ウイルス対策ソフトウェアもパターンファイルだけでなく検索エンジンが最新に更新されていることが重要です。「SKYSEA Client View」は、OSビルド番号・ウイルス対策ソフトウェアの検索エンジン情報も管理機から素早く確認できるので、劇的に管理作業が楽になりました。
「SKYSEA Client View」の次期バージョンであるVer.13.2では、Windows 10 の大型アップデートの適用タイミングを制御できる機能が搭載されるので、あわせて活用を検討していきたいと考えています。
リコージャパンでは、2015年から「SKYSEA Client View」の「資産管理」機能と自社の資産管理データベースを連携させてPC台数の適正化に取り組み、2年間で約4,100台のPC削減を実現しました。
具体的には、まず「デモ用」「検証用」など、特定用途のPCを洗い出すため、社員が資産管理データベースにPC用途を登録できるようにすることから始めました。次に「SKYSEA Client View」の資産情報に任意の項目として、「PC用途」という欄を用意して自社の資産管理データベースに登録されたPC用途情報を定期的に自動連携しました。
それにより、「ハードウェア一覧」上で最新のPC用途を確認できるようになり、不要なPCの洗い出しが進み、余剰資産の削減(適正化)が実現しました。
今後、この取り組みをリコーグループ全体に広げて、さらなる「ITコストの削減」につなげていきたいと考えています。
現在、サイバー攻撃はますます巧妙化が進んでいて、セキュリティ対策が難しくなってきています。OSやアプリケーションの脆弱性を突く未知のマルウェアも少なくありません。
万が一、攻撃を受けた場合には、初動対応をどれだけ早く行うかが、被害を最小限に食い止めるための鍵となります。例えば、脆弱性を突いた攻撃の場合、ソフトウェアメーカーからは「このセキュリティパッチを当ててください」といった情報が提供されます。リコーグループでは、こうした情報を入手したときには、すぐに「SKYSEA Client View」でソフトウェアのバージョンを確認し、セキュリティパッチの適用状況を把握しています。
未知のマルウェアの場合には、ネットワーク内に侵入されたとしても従来のパターンファイル型のウイルス対策ソフトウェアでは、マルウェアを検知することができません。しかし、ネットワーク経由で感染していることがログからわかることもあります。感染原因を究明するとき、手掛かりとなる情報はIPアドレスだけという場合も少なくありません。初動対応としては、IPアドレスをリスト化してクライアントPCをチェックしていくことになりますが、IPアドレスは動的に変わることもあり、クライアントPCを特定するには意外と時間がかかってしまうものです。
当社でも、「SKYSEA Client View」を導入する以前に、同様の対応をしたことがありますが、PCを特定するのに2日間かかりました。「SKYSEA Client View」であれば、IPアドレスで検索すれば、すぐにクライアントPCを特定することができます。
これらは一例ですが、攻撃が多様化して、より迅速で柔軟な対応が求められる現在の環境のなかで、「Windows更新プログラムの適用状況」や「IPアドレス」といったごく限られた情報から、クライアントPCをすぐに特定できる手段があることはセキュリティ対策として重要と感じています。
リコーグループでは、ヘルプデスク担当者がファイルを誤って削除してしまうといった問題発生時の責任問題を回避するため、操作方法を伝えることだけに留め、実際の操作は問い合わせをしてきた社員に行ってもらうようにしています。
Ver.13.2からは権限設定することによって、画面操作のボタンを表示しないでリモート操作が使えるようになります。今後は、担当者が特に意識しなくても、リコーグループの運用ポリシーに沿った活用ができるようになると期待しています。
2018年7月取材
注目コンテンツ