AD無しの衝撃!
最初にお断りしておきますが、今回の投稿で紹介している我が役場の問題点は全て解消済みですのでご安心ください。
ここの役場に来て衝撃だったことランキング上位に入っているのがActive Directoryが未導入だったこと。さすがに基幹系ネットワークでは導入されていますが、ベンダ任せの運用でセキュリティも何もあったもんじゃない。ドメイン管理者のパスワードが日本人のパスワードランキングに載ってる!すごい!すぐ変えました。この状態でいったい何年運用していたのか。ダメだこいつら・・早くなんとかしないと。
LGWAN系とインターネット系はActive Directory未導入だから、ドメイン管理者のパスワード流出の心配は無いよ?ポリシー適用は全台手作業で設定の男気溢れる運用。ちなみにSKYSEAなんて当然のように入ってません。これまで財政が認めてくれなかったみたい。しんどい。
今回はAD無し運用の現実についてご紹介。
IDとパスワード
我が役場ではIDが人ではなく端末に紐づいています。異動があると、端末と人が一緒に異動するか、IDとパスワードがそのまま後任に引き継がれる(衝撃!)か、のどちらかです。AD無しの運用を真面目に考えたことが無いので分かりませんが、異動の度に端末にユーザー追加するなんて運用は現実的に難しかったのだと思われます。
IDが端末に紐づいていると、責任の所在が不明確になる、適切な権限管理ができない、運用が煩雑になる、など数多くの問題が出てきます。
さらに、初期パスワードを全員が変更せずにそのまま使用しているという衝撃・・・
これが弱小自治体の現実なのか
そもそも自分のパスワードを誰かに管理されていることに誰も異を唱えないのは何故なのか
NASの権限設定
庁内のファイル共有にはNASを利用していますが、そのNASの権限設定はADが無いせいか無茶苦茶。IDがほぼ意味の無い文字列なので、権限設定を見てもフォルダについている権限がだれのものなのかさっぱり分かりません。異動の都度、ちゃんと設定できていればよかったのですが、おそらく権限の削除を怠ったからか、もうワケワカラン
IDとパスワードはExcelで一元管理(笑)しているので、NASの権限設定と突き合わせて全部見直せばよいのですが、正直そんなことはやってられません。
グループポリシーが使えない悪夢
当然ながらActive Directoryが無ければグループポリシーが使えません。これは痛い!ショートカットひとつも配布できないし、いろんな設定も撒けないし、証明書も一括して入れられない。
どうやっているかというと、ITリテラシーがミドリムシ程度の職員にも分かるように、懇切丁寧に(ここでOKボタンを左クリック!、とか笑)手順書を作成し、庁内掲示板で全職員宛に、業務ご多忙の中恐れ入りますが、と断りを入れつつ作業依頼をしています。私一人であれば良いですが、とてつもなく無駄な労力を割いてしまっている現実。
Windows Update
多くの自治体は、J-LISが用意している自治体情報セキュリティ向上プラットフォームを利用して、LGWAN端末のWindows Updateやウイルス対策ソフトのパターンファイルの更新をやられているかと思いますが、前提として、Active Directory + WSUS環境が当然のように使われていると思います。WSUSはAD無しでも使えると思いますが、何十台、何百台の端末環境でそんなことやってる変態はいないと思います。
我が役場の状況を見てみると、当然WSUSなんてありませんので、LGWAN端末のOSバージョンは導入当初のまま時が止まっております笑 インターネットから切り離されているから更新はしなくて良いのだ、と豪語している上司の考えを変えてもらうところから対策が必要な様子。
ADとSKYの導入
これまで書いたような問題を解決すべく、補正予算を組みActive Directoryの導入に漕ぎつけた僕。導入作業もなかなか大変でした。
- 時間外に全端末のドメイン参加作業
- 職員説明。パスワードは自分で変更すること。付箋で端末に貼っちゃダメゼッタイ
- ローカルユーザーがドメインユーザーへ移行不可、個別アプリの手動再インストール
- パスワード忘れた。リセット依頼の嵐。元の環境に戻してよの依頼。
ついでにSKYSEAも一緒に導入。やっとリモート操作できる!嬉しいっ!
まとめ
県や国はやれDXだ、やれフロントヤード改革だなんだといろいろ騒いでいますが、そんなことよりまず守りを固めないといけない、当たり前が当然のように実施できていない自治体もあるんです。
ひとり情シスだと、毎日の調査照会攻撃を喰らいながら守りを固めるだけで精一杯。せめてもう一人、攻め担当がいてくれて、デジタル室でも作ってくれれば安定するのになぁ。
コメント