ユーザーから頻繁に寄せられるアカウントロックの解除やパスワードのリセットのリクエスト。業務を滞らせる可能性がある以上、システム担当やITヘルプデスクとしては、やりかけの作業を中止してでも対応することが求められる。こうした作業に集中力をそがれ、時間を奪われてしまうようでは「経営に寄与する創造性」など発揮するのは難しい。ではどうすればよいのだろうか? その現実解を紹介しよう。
「パスワードを忘れてログインできない。今すぐに対応してもらわないと取引先に迷惑を掛けてしまう」──システム担当やITヘルプデスクにとって、ユーザーからのアカウントロックの解除やパスワードのリセットのリクエストは頭の痛い問題だ。対応にほとんど手間は掛からないが、いつリクエストが来るかが予測できない。リクエストが来たら、ユーザーの業務に支障を来さないよう、できるだけ早く対応しなければならない。
ある調査によると、アカウントロックの解除やパスワードのリセットのリクエストは、ヘルプデスクに寄せられる全リクエストのうち、3〜5割に達するという。特に、金融業界などクライアント端末の制限を厳しく行っている業種では、この割合が8割に達する場合もあるそうだ。
最近では、情報漏えい事故や不正アクセスの増加を背景として、一般企業でも厳しいパスワード管理が求められるようになった。パスワードのメモをPCに貼り付けて忘れないようにするといったユーザー任せでセキュリティリスクのある運用は減り、その分、アカウントロックの解除やパスワードのリセットを安全に行うために、システム担当やITヘルプデスクへの問い合わせが増えた。アカウントロックの解除やパスワードのリセットへの対応が、システム担当やITヘルプデスクの運用負荷を大幅に高めることになったのだ。
ゾーホージャパンでマーケティング部マネージャを務める曽根禎行氏は、こうしたアカウントロックの解除やパスワードのリセットにまつわるシステム担当やITヘルプデスクの課題について次のように話す。
「システム担当やITヘルプデスクが、アカウントロックの解除のようなリアクティブな業務に時間をとられてしまい、クリエイティブな業務に注力しにくくなっています。こうした事情は弊社のパートナーやSIerも同様です。ユーザー企業のサポート業務を請け負っているある企業では、ロック解除対応に工数をとられて、本来行うべき業務が進まなくなったこともあるそうです」
こうしたアカウントロック解除/パスワードリセットの課題に対応するために、ゾーホージャパンでは、「ManageEngine ADSelfService Plus」(以下、ADSelfService Plus)と「ManageEngine ADManager Plus」(以下、ADManager Plus)という2つの製品を提供している。いずれも、Active Directoryのアカウント管理に関わる作業負荷を軽減するツールだ。
曽根氏によると、アカウントロックの解除やパスワードのリセットへの対応には、大きく2つのアプローチがあるという。1つは、「ユーザーのパスワードは、基本的にユーザーに管理を任せる」というアプローチだ。具体的には、アカウントロックの解除やパスワードの再発行をセルフサービス化することで、システム担当やITヘルプデスクの手を借りずにユーザー自身で対処できるようにする。この機能を提供するのが、ADSelfService Plusだ。ワールドワイドで1万4600社に導入実績を持つ。
もう1つは、それでは対応できないケースについて、「ユーザーとは別の管理者に権限を委任する」というアプローチだ。具体的には、ユーザーが所属する部門部署の長などに権限を委任し、システム担当やITヘルプデスクの手を借りずに部門や部署単位で対処できるようにする。この機能を提供するのがADManager Plusだ。ワールドワイドで1万2000社の導入実績を持つ。
まず、ADSelfService Plusから見ていこう。ADSelfService Plusを導入すると、Windowsログオン画面に、以下のステップ1で示した画面イメージのように「(パスワードの)リセット/(アカウント)ロック解除」オプションが追加される。Windowsの標準機能では、こうしたアクションを取る手段が提供されないため、パスワードを忘れたユーザーはシステム担当やITヘルプデスクに頼らざるを得ないわけだ。
Windowsログオン画面でユーザーが「リセット/ロック解除」を選択すると、図1のステップ2の画面イメージのように、パスワードリセット/アカウントロック解除の選択画面が表示される。ここで実行したい操作を選択して、ユーザー名の入力と、本人確認方法としてセキュリティ質問に回答するなどして認証を行い、ロックを解除、あるいは、パスワードを再設定するわけだ。
ManageEngine&WebNMS事業部 技術部の石井翔平氏によると、こうしたログオン画面への機能追加は、WindowsのGINA/CPというモジュール追加機能を利用しているという。
「モジュールでの拡張なので、新しい認証方式の追加も可能です。マルチファクター認証としては、セキュリティ質問と回答、モバイルやスマートフォンのSMSやメールを経由した認証コード、グーグルの認証システムであるGoogle Authenticatorを利用できます。ユーザーにとっても分かりやすい画面となっているので、確実に使ってもらえると思います」(石井氏)
では、ADSelfService Plusではどのようなセルフサービスが提供されるのか。基本的には、以下の項目となる。
このように、もしユーザーがパスワードを忘れてしまっても、ユーザーは自身のPC上、あるいはモバイルデバイス上でアカウントロックの解除やパスワードのリセットを自分自身で実行できるようになる。セキュリティが確保された状態で行われるため、システム担当やITヘルプデスクが何ら手を煩わせる必要がなくなる他、「導入・運用に際して、特別なスキルがなくても扱えるシンプルな操作性も特徴」(石井氏)だという。
一方、システム担当やITヘルプデスク側では、利用する際に「有効にするセルフサービス」「適用するドメイン」「適用するグループ」などを選択するだけで済む。管理はWeb画面から行うことができ、ユーザー登録や監査についてのレポートを提供する機能も備えている。2014年8月下旬から日本語サポートを開始する予定だという。
アカウントロックの解除やパスワードのリセットといった、ヘルプデスクを悩ませてきた課題のほとんどは、以上のようなセルフサービス化で解決できる。だが、それでは対応できないケースもある。例えば、1つのアカウントを複数人で共有しているようなケースだ。役職ごとに権限が決まっている欧米企業と違って、日本企業では、同じ人が複数の権限を持っているケースや、同じアカウントをグループで共有しているケースが少なくない。
「個人のログインアカウントはセルフサービス化で対応できるのですが、グループで共有しているアカウントなどは、個人がどこまでの情報をリセットできるかなど、リセットのための管理が必要になります。そこで、現場の上長などに管理権限を委任して、そこでアカウントロックの解除やパスワードのリセットを管理してもらうといった工夫が必要になってきます」(曽根氏)
また、パスワードを忘れるというケースでは、本人確認のためのセキュリティ質問情報なども一緒に忘れてしまうケースが多い。その場合もセルフサービスだけではなく、上長などの管理者にアカウントロックの解除やパスワードのリセットの権限を委任しておけば対応が可能になる。このようなケースに対応できるのが、ADManager Plus だ。
管理者の設定もシンプルに行える。管理者を「オペレーター(担当者)」として登録し、オペレーターごとに任意の権限を設定するだけだ。例えば「アカウントロックの解除とパスワードのリセット」の権限を持った役割を作成する場合、以下の画面イメージのように、権限を与える操作項目をチェックして設定する。
また、セキュリティやITガバナンス担保の観点からActive Directoryに対する監査証跡が必要になるケースには、別製品「ADAudit Plus」を用意している。ADAudit Plusは、Active Directory上で管理している、ユーザー、グループ、グループポリシーなどのオブジェクトに対する全ての変更情報の一元管理を可能にする製品だ。150以上のレポートにより、Windowsのイベントビューワーなどでは把握できないイベントの発見や監査が可能だという。
このように、企業各社のシステム担当やITヘルプデスクや業務部門の実態に即して、“Active Directory管理にまつわる手間や時間”を大幅に削減できるツール群をラインアップしている同社だが、曽根氏は「まずはアカウントロックの解除やパスワードのリセットのセルフサービス化をしてみて、その効果を体感してみることをお勧めしたい」とコメントする。
「システム担当やITヘルプデスクの業務の半分がアカウントロックの解除やパスワードのリセットというのは、いかにも非生産的です。特にシステム担当やITヘルプデスクに経営への寄与が求められている今、余計な工数は極限まで排除することが大切。その点、これまでもアカウントロックの解除やパスワードのリセットをセルフサービス化するソリューションは存在しましたが、ADSelfService Plus とADManager Plusは、導入・設定の簡便さ、ツールの利用者にとっての扱いやすさ 、導入しやすいライセンス価格を強みとしています。まずはアカウントロックの解除やパスワードのリセットをセルフサービス化してみる、それから権限委任や監査といった機能を、自社のセキュリティ・ガバナンス要件や状況に合わせて使ってみる――このように効果を確かめながらステップを踏んで体制を整えていくことで、ユーザー、システム担当やITヘルプデスクとともに、本来業務に注力しやすい環境を着実に整えられると考えています」(曽根氏)
経営に寄与するシステム担当やITヘルプデスクとしての本来業務に集中するためには、まずはそのための環境を整えることが大切。ゾーホージャパンでは以下のようなツールを使った環境整備のノウハウを説くセミナーも開催している。ぜひ足を運んでみてはいかがだろう。
Active Directory(AD)のアカウントロック解除やパスワードリセットの運用を、ADアカウント管理セルフサービスツール「ADSelfService Plus」や、AD ID管理ツール「ADManager Plus」を利用してどのように効率化できるかを詳しく紹介する「ツール導入を無料で相談できるセミナー」を開催。
② 以後、不定期に開催予定
Copyright © ITmedia, Inc. All Rights Reserved.
提供:ゾーホージャパン株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2014年9月19日