中小企業のシステム担当者がサーバ更新の対策を検討中です。セキュリティやバックアップなどの対策を考えていますが、何か足りない点があるでしょうか?

前へ 次へ
このQ&Aのポイント
  • 中小企業のシステム担当者がサーバ更新の対策を検討中です。セキュリティやバックアップなどの対策を考えていますが、何か足りない点があるでしょうか?
  • 中小企業のシステム担当者が、退職した部長の代わりに担当者としてシステム管理責任者に任命されました。サーバの更新期限が迫っているため、セキュリティやバックアップの対策を検討しています。ただし、不足点がないか心配しています。ご意見をいただけると幸いです。
  • 中小企業のシステム担当者がサーバ更新に伴うセキュリティ対策を検討しています。ハードでのファイアウォール、データのサーバへの置き換え、ログの残存対策などを検討していますが、何か他に必要な対策はあるでしょうか?
回答を見る
  • ベストアンサー

中小企業のシステム担当者です

中小企業の総務部課長です。このたびシステム管理責任者であった部長が退職する事になり、責任者ではなく担当者として任命されました。それまでもある程度知っていると言う事で実質運用は私がしていたのですが。 本題です。それに重なってサーバの更新期限がやって来ました。今WEBサーバとメールサーバはホスティングしています。それ以外のサーバ等は本社に置いています。私と保守会社のSEとで検討しています。私自身の意見を言ってSEがそれに意見を言うといった形で何度も検討しています。 今、セキュリティー対策としてハードでのファイアウォールを置いて各人のデータはC、Dドライブに置かずにサーバに置く。ログオフ時にはキャッシュ等の消去もしする。そして、次に各人のPC操作やファイルや印刷のログを残す為にLANSCOPEを置く。またLANSCOPEにはアクセス制限もしていてWEBアクセスもする。ただ文字列で判別する為その文字が無いサイトであれば閲覧できてしまいます。次に各自のPCには内蔵の光学ドライブやFDDも付けない。 USBも認証用のICカードリーダーとマウス、キーボードのみに限る。後メールはサイボウズを使用し、各人のデータはサーバに置く。CとDドライブにはアクセスできないようにしていこうと考えています。LANSCOPEでは不足なのでi-Filterとm-Filterを設置して補完して行こうと考えています。また、バックアップも毎日差分バックアップを取り週一回テープに得るバックアップを取ると言う事にしています。次に惨事対策で遠距離の支社にバックアップ用の装置を取るようにしておこうと思っています。 一応、ここまで考えたのですが、後何か足らないところは無いでしょうか?なお、今までサーバも1台にかなりの機能を持たせていたので分散させて行こうと思っています。当然ウィルスソフトやアップデートはサーバ経由で行う事にしています。メールも添付ファイルは暗号化しなければ送れないようにしようとしています。役員は性善説ですが、私は性悪説までいかないまでも素人なりにわからず変なサイトに行き変なソフトをダウンロードしてしまい、情報が漏洩してしまわないか?とかを心配しています。既知の悪意のあるソフト(ファイル交換ソフト等)はLANSCOPEで制限させますが、心配は残ります。いろいろ考えて行くとこれで良いのか? 何か不足はないのか?と、思ってしまいます。SEもおとなしい方で先方からの提案はなく、こちらの要望をアレンジは誠実にしてくれますが、商売気がなくこれを使ったら?とかと言うお金がかかる事なので控えているようです。予算の問題はありますがそれなりに支出できる資本力は十分有りますので、2~3百万円上がっても構わないのですが。一応1千3百万円程度の見積もりは出ています。構成はWin2008で資金的にブレードではなくラックマウントにするため仮想化は行わない方向で考えています。 1台部門サーバで試験的にやっていますが、冗長性を考えるとブレードにしないといけませんので、全社的な事には行わないでおこうと考えています。数年内に移転計画もありその時にLAN配線もギガ対応にして冗長性を持たそうと考えています。他にやれば良い事があればお教えください。 今月中にまとめて来月はじめにプレゼンを行い、決裁を取ろうと考えています。 なお、余談ですが、システム担当者は私一人なのですが、コンピューターに少し詳しい人間が他におらず休みの時にどうすればいいのかも困っています。私は幸か不幸か病気で休職中に社会復帰を兼ねてLinuxとMCPの学校に行っていたので若干の知識はあります。でも、他の人はWEB閲覧とワードエクセルが少々と言うスキルの人ばかりです。今でも何でもかんでも本支社からの問い合わせに対応しており時にはVNCで操作してやったりしています。非常に本業も忙しい中で負担になっています。 権限も課長なので上席には指示できませんし、忙しいと言って手当をくれる訳でもなく。権限を持たせてもらうとか手当の要求はできるのでしょうか?(個社別の問題かとは思いますがご意見いただければと思います。) よろしくお願いします。

  • aki567
  • お礼率72% (480/660)

質問者が選んだベストアンサー

  • ベストアンサー
  • junkUser
  • ベストアンサー率56% (218/384)
回答No.2

重箱の隅ですが >バックアップも毎日差分バックアップを取り週一回テープに得るバックアップを取る ユーザーのデータをサーバーに保存した上、毎日差分、週一フル バックアップ。これ以外にも共有フォルダなどのバックアップ、アクセスログのバックアップ、さらに業務システムのもあると思います。 ということは相当なデータ量になりそうですが、テープで追い付きますかね? テープのローテーションも検討済みですか? 万が一リストアするとなったら、何時間で復旧できますか? 杞憂だとは思いますが・・・ ちなみに、遠隔地でバックアップということは普段の運用は各拠点でバックアップして、バックアップしたものは別の拠点に保管するということですかね。 仮に、WAN経由でバックアップをするとなったら、WANの帯域がバックアップの最高速度になるため、想定した時間内にバックアップできるか計算したほうが良いでしょう。 >役員は性善説ですが、私は性悪説までいかないまでも素人なりにわからず変なサイトに行き変なソフトをダウンロードしてしまい、情報が漏洩してしまわないか?とかを心配しています。 いい会社じゃないですか。ただ、社員が「善意で」偽のウイルス対策ソフトなどを入れないように気をつけないといけないですね。 >メールも添付ファイルは暗号化しなければ送れないようにしようとしています。 これはエンドユーザーに特別な知識がなくても使用できるものですか? なにか、運用手順書のようなものを作る必要は無いですか? たとえば、他社へファイルを添付してメール送信した際、相手側で開くことができるようにシステムを構築する必要はありませんか? >冗長性を考えるとブレードにしないといけません ブレードにしても冗長にはなりませんよ。 いわゆる「クラスタ化」するのなら、バックエンドにSANをつけるなり、OSのクラスタを使うなりするので、ラックマウント サーバーでもできます。 単なるハードウェアのコピー バックアップのことを指していらっしゃるのですか? >権限を持たせてもらうとか手当の要求はできるのでしょうか? まさに会社の事情によるとしか言えませんが、まっとうな会社なら、必要な権限であれば認めてもらえると思いますよ。 ただ、「パソコンは動いて当たり前」の会社であれば、リスク分析などの正論で攻めても受け入れられないのでかなりの根回しが必要になります。 いずれにせよ、社内政治に明るい人を味方につけると仕事がやりやすいのは確かです。

aki567
質問者

お礼

大変ありがとうございます。参考になりました。 テープの量で過去オーバーフローしてしまいバックアップが失敗した事がありました。これは大きな問題ですね、来週打ち合わせで言ってみます。 リストアの問題も有ります。ただ、当社の業種柄データを即座に復元しなければ仕事にならないと言う事はないのでその辺りはのんびりしています。 顧客データ等も当社自体には無いのです(おかしな業種だと思われるでしょうがネット接続できれば大丈夫なのです)。 WAN経由でバックアップする為にもう1回線必要だとは思っています。しかし、これも検討材料ですね。 それと、結構勝手にフリーソフトや壁紙をインストールする人間がいるのでそれを防止する手だては検討しています。(「善意で」偽ウィルス対策ソフト導入に該当しますね。)これもLANSCOPEで監視可能なのですが、ログを各人見て行かないとダメなのです。アラームメールが出るならそのように設定しないとだめですね。暗号化はエンドユーザーで使えるものです。パスワードは電話とかあらかじめ当人同士で直接決めておくとか。ほとんど決まった先なので。 ブレードは理解できました。クラスタ化する事を考えています。検討してみます。 最後の問題が一番困難です。性善説=パソコンは真っ当に動いて当たり前。と、言う考えです。社員がだんだん若年化していくのでPCに明るい人間も入ってくるので(今は高齢者がほとんどです。)、性善説ばかり言ってられないと思うのです。ここは考えてみます。社長に直接言う方が良いのかもしれません。いずれにせよ参考になりました。ありがとうございました。

その他の回答 (1)

  • URD
  • ベストアンサー率21% (1105/5238)
回答No.1

僭越ながら システム担当者ともあろうお方が「ウイルスソフト」と言っているようでは保守会社の方に組し易しとナメられてしまいます。 せめてウイルス対策ソフトとかセキュリティーソフトとか表現しましょう ところで、制限がわずらわしいと会社支給品以外の私物PCをつないでしまう対策はいかがお考えですか?

aki567
質問者

お礼

はい、端折ってしまいましたね。いつも、僕も他の人間に言っている事を言われてしまいました。聞き癖がついているのでしょうね。私物パソコンは繋ぐとアラームメールが管理者に届くようになっています。もっとも他の業務でネット接続しないといけない業務があるのですがそれは社内LANと切り離して別途に対策を講じています(1台だけですが)。ありがとうございました。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • ACCESS2003のシステムを2010で!!

    ACCESS2003で作られたシステム(ソフト)をACCESS2010で使いたいと思っています。 (会社の端末が新しくなったため。) しかし2010で開こうとすると、以下のメッセージが表示されます。 「オブジェクト“A”が見つかりませんでした。オブジェクトが存在していること、名前やパス名が正しいことを確認してください。“A”がローカルオブジェクトでない場合は、ネットワークの接続を確認するか、サーバ管理者に問い合わせて下さい。」 ここで「OK」をクリックすると、さらに以下のメッセージが表示されます。 「現在のユーザーアカウントでは、このデータベースを変換または有効にする権限がありません。 データベースを変換または有効にするには、次のいずれかの操作を行ってください。 ※このデータベースにアクセスするときに使うユーザーアカウントを定義しているワークグループに参加します。 ※データベースオブジェクトの[開く/実行]権限と[排他で開く]権限を持つようにします。 ※データベースのすべてのテーブルの[構造の変更]権限または[管理者]権限を持つか、データベースのすべてのテーブルの所有者になるようにします。 ※データベースのすべてのオブジェクトの[構造の読み取り]権限を持つようにします。 ※他のユーザーにデータベースを閉じるように要求します。」 私はACCESSの使用者であって、開発などはできない人間ですので、 分かりやすい用語などでご教示頂けましたら大変嬉しく思います。 ご多忙中大変恐縮ではございますが、何卒宜しくお願い申し上げます。

  • Webサーバ経由で別のWebサーバにアクセス

    クライアントPCから、WebサーバAにアクセスし、WebサーバBのWebページを見たいです。 理由は、WebサーバBはWebサーバA(のIPアドレス)からのアクセスしか受け付けず、 クライアントから直接WebサーバBにアクセスできないためです。 WebサーバAにアプリケーションをインストールしたり、設定を変える権限はありますが、 できるだけアプリケーション側でそのようなことができるようにしたいです。 宜しくお願い致します。

  • システムコマンダーで構築されたHDのバックアップについて

    120GBのハードディスクをシステムコマンダーを使って パーティションを切ってWindows98SE、2000、XPの各OSをマルチブートさせています。 通常のインストールとは違ってCドライブに98SEをインストールしたらシステムコマンダーを導入して98SEのCドライブを隠して(hidden状態)からFDISKで次の基本領域を確保します。 HDをフォーマット後に2000をインストールします。 ここで2000をインストールするとシステム上からは98SE、2000が見える状態です。 今度は98SE、2000の領域を隠してからFDISKで最後の基本領域を作成して最後の領域にXPをインストールします。 ここまで長々とご説明しましたが何が言いたいかと言いますと通常MS-DOSではFDISKでHDの最初の基本領域を確保すると残った領域は拡張領域になりましてそれからドライブを増やそうとする場合は拡張領域内の論理ドライブしか作れません。つまりシステムコマンダーのユーティリティで基本領域を隠すことによりDOS上から見えなくして新たに基本領域を作っています。 Windowsは1台目のHD上の基本領域にしかインストール出来ません。その為システムコマンダーの機能で一時的にカレントドライブを隠しから新しいパーティションに基本領域を作って次のOSをインストール出来るようにしています。こういった特殊なパーティションHDを完全にバックアップ出来るソフトを探しています。バックアップ先はDVD4.7GB(複数枚使用)を予定しています。宜しくお願いします。

  • ウェブ型業務システムについて

    Sier等が顧客企業に対してウェブを通して提供する業務システム(Saas/ASP)についてお教え下さい。 1)ウェブ型CRMというのは聞いた事があるのですが、それ以外で はどういうシステムが完全ウェブ型として提供されているのでし ょうか? また、日本におけるそれらのシェア、浸透具合はいかかがもの なのでしょうか? 2)ウェブ型システムを利用する場合はセキュリティは絶対課題だと 思うのですが、どういった技術によってセキュリティを確保して いるのでしょうか? サーバーがWWWに接続する以上、アタックやクラッキングを受ける事 は避けれないのではないのか?という疑問を持っています。 3)ウェブ型システムは従来のシステムと比べると導入が比較的簡単 でかつカスタマイズが不要もしくは最小限という話を聞くのですが、 こういったシステムに対して開発SEや業務SEはどう関わるので しょうか? 作った後は関わりは少ないのですか? 開発SEを目指していたのですが、近い将来パッケージや完全ウェブ型 システムが主流となってしまうと開発SEは仕事が減ってしまうのかな という懸念を抱いています。 もしくは開発+運用とか開発+プリセールスというようなミックス スキルが求められてくるのかな・・・などと妄想しています。 SE経験が短いので質問自体が的外れで分かり辛いかもしれませんが、 先輩SEの方のご回答をお待ちしております。 よろしくお願い致します。

  • ガットについて

    ソフトテニス前衛をやっていてアーマーブレイド7を使っているのですが、今のガットはサーバーナチュラルドライブで強さは30で張ってあります。 打つと飛びすぎてしますのです。 ガットはどんなものがいいのですか? あとどのぐらいの強さで張ればいいのでしょうか

  • 複数アカウントのXP VISTAから参照

    複数アカウントのXPがあります。自分を含めて家族3人分。 別のPC(VISTA)から参照しようとしています。 わからないながら、LANを構築しXPのPCもネットワークにみえています。 XPのCドライブを共有設定したところ、ルートはVISTAから参照できて データもコピーできました。 しかし、各人のデスクトップなどにアクセスができません。 (権限がないとかなんとかで) どうしたら、XP各人のデスクトップなどにアクセスできるようになるのでしょうか? 詳しく教えて下さい、よろしくお願いします。。 XPのPCが”虫の息”です。助けて下さい

  • 社内システムを開発していく言語

    いつもお世話になっています。 今、ACCESSで簡単な社内用のアプリケーションを開発しているのですが、ACCESSだけでは不安になってきました。 今後、SQL Serverを導入して本格的なデータベースシステムに移行しようと考えています。 ACCESS + SQL Serverでどのくらいのシステムが開発できるものか、分からないので不安です。 会社は建設業で、今後、見積書作成ソフト、顧客管理ソフト、現場事務所とのリモートアクセスが可能な業務支援ソフトなどを開発していくと思います。 社内SEの経験者の方で、どんな開発環境がよいのか ご教授願えないでしょうか。 例えば、C言語でこんなものを開発したとか、フリーのソフトだけでここまで開発したとか、将来的にはこの組合せが妥当だとか。

  • YAMAHA IPsecVPNでNASに接続不可

    お世話になります。 現在、YAMAHAのRTX810で自宅と事務所でIPsecVPNを構築しています。 事務所の方はプライベートID払い出し型のCATVの為 NAT Traversalを使い、通信を行っています。 しかし現状としまして、一部通信できない機器があります。 1、双方向のルーターのGUIにはブラウザ、TELNET共にアクセス可能(httpd host にて設定) 2、双方向のネットワーク上に設置されている、カメラやWEBサーバーにはブラウザ上からアクセスが可能 3、各拠点に設置されているNASに対してWEBブラウザからのアクセスは出来るが、ネットワークドライブに設定が出来ない。 4、リモートデスクトップで双方のサーバーに対してログインが出来ない。 原因が分からなかったので、双方向のトンネルに対し、ログを取る為だけのフィルタを1つつけて確認したのですが、 ip tunnel secure filter in 99 ip filter 99 pass-log * * * * * ログを見る限りだと、 2015/12/24 11:43:05: TUNNEL[1] Passed at OUT(99) filter: TCP 192.168.2.101:53199 > 192.168.1.131:445 2015/12/24 11:43:03: TUNNEL[1] Passed at OUT(99) filter: TCP 192.168.2.101:53203 > 192.168.1.131:139 A点:192.168.1.0/24 NAS:1.131/24 B点:192.168.2.0/24 NAS:2.131/24 このような状態になっています。 トンネル同士の通信なので、WAN側のフィルターは適応されないが、 暗黙のdenyではないですけど、何らかのフィルターが対応されているのかと思い、 トンネル内部はIN,OUT共にasseptを設定したのですが、現象変わらず…。 分かっていることは、WEBサーバーの80番は問題なく見られるという事位です。 ご教授いただければ幸いです。 どうぞよろしくお願いします。

  • サーバの日付を変更するとWebアプリケーションがエラーとなる

    Windows Server 2003を載せたサーバをWEBアプリケーションのテストサーバとして使用しています。 日付によって動作の変わるプログラムをテストするため、サーバの日付を変更した後でクライアントからアクセスしたところ、 「このページを表示する権限がありません。提供された資格情報には、このディレクトリまたはページを表示する権限がありません。」 「HTTP エラー 401.1 - 権限がありません : 資格情報が無効のため、アクセスが拒否されました。インターネット インフォメーション サービス (IIS) 」 というエラーとなってしまいました。 日付を元に戻し、IISを再起動したところ、また問題なくアクセスできるようになりました。 どうすれば日付を変更してWebアプリケーションを動作させられるのでしょうか。

  • ダウンロードソフトが保存できない

    フリーソフト「ビジュアルベーシック6ランタイム」 (http://www.vector.co.jp/soft/dl/win95/util/se089073.html)を HTTPにてダウンロードを試みましたが次のメッセージが出ます。 ----- e:\vb6rts.exe このファイルを開く権限がありません。 アクセス権の取得については、ファイルの所有者又は管理者に相談してください。 ----- また、保存先はEドライブのCDRWに指定しました。 最近、Cドライブの空き容量が少なくなってきたので、なるべくハードディスクへのデータ保存を避けたいです。 CDRW又はCDRへのソフトウェアの保存、展開は無理なのでしょうか。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する