Symantec Endpoint Protection12を導入する [医療情報技師というお仕事]
医療情報技師を名乗って、実際に病院でシステム管理をしている私が、そのことをBlogに載せない。仕事してないんじゃないか・・というわけではなくて、ある程度安定した状況下では、特に何も書くことはないんだ。
日々平々凡々に、つつがなく安定してシステム運用を続けるのは、実は結構難しいことなのだが、そんな日常をBlogに書いてもなあ、とも思う。
けれど安定稼働を続けて変化のない日常を送り続けると、モチベーションやら何やらが色々と下がり始めるので、常に何かの見直しやちょっとしたプロジェクトを考える。
医療現場の人たちも業務改善につながるし、私自身のやる気や技術も上がる。適度な変化は、よいストレスを与える。そんなこんなでざっと概観すると見直したいものがいくつか出てくる。
セキュリティソリューションを変更・・というプロジェクト
私たちの病院にはセキュリティ対策として、マカフィー(McAfee)社のコンピュータウイルス/マルウェア対策ソフトが入っている。もう5年以上も使っていて、それなりに安定稼働する。ウイルスを発見すると画面に大きく表示されて、誰もが異常に気づく(これ結構重要な点)。しかしいくつか気になることがあった。
・競合他社製品に比べて動作が重い。
・端末によって、データのアップデートに失敗することがままある。
・データアップデート中の、コンピュータやサーバーに与える負荷が若干高めで、その間電子カルテの動作がちょっと重くなる。また一昨年末サーバーにログインしようとしたところ、画面がブラックアウトして電源断するはめになった。後日原因を解析すると、マカフィーのアップデート中だったことが分かった。
・スキャン結果などのレポート機能がやや弱い。
・USBメモリ管理などに対応していない。
・マカフィーの誤動作でKingsoftOfficeのPresentationプログラムが破壊されたことがあった。
これらは私の理解不足によるものかもしれないが、何気に不満の残る部分がある。
マカフィーの更新時期が近づいてきたこともあって、別会社にしようかと何となく考え始める。そういえばセキュリティ大手のシマンテック(Symantec)社、イベントにも出たことがあり、なかなか良い印象を受けた。
ちょっと話を聞いてみよう
というわけで取引のある代理店に連絡し、営業担当者を呼んでもらう。長々とプレゼン資料を説明いただいた後、私からも事前に用意していた質問をして、導入障壁はそれほどなかろうという結論。USBメモリ等の制御もできるし(デバイスIDによる接続制限)、MacやLinuxも標準で対応(ただし制限付き)。一番の問題は価格だが・・。
シマンテックは今かなり安い
マカフィーは毎年の更新に1ライセンス5200円ほどかかる。シマンテックに変更して、2割増し価格くらいなら何とか決済されるかなと思っていたら、「乗換キャンペーン」で1クライアント3000円台前半の見積もりが出た。(注1)(注2)
毎年の更新費用も定価でさえ3676円(25~49クライアント時)。代理店に見積もり出させると、更新費用は2500円くらいになった。これは安い。
ただしこのEndpointProtectionには管理用サーバーが必要との説明を受けた。Windowsサーバーが必要とのこと。このサーバーOSが高いのだ。結局シマンテックとは別に20万ほどでサーバーを調達。更新費用も安くなるから数年でサーバー費用は回収できる旨の起案をした。あっさり決済される。
(注1)今はキャンペーンで、さらに安くなっている。乗換版だと2000円を優に下回る。
(注2)ライセンスは新規/乗換それぞれで5ライセンス以上から購入する必要がある。あとで追加のライセンスを発注するのも5ライセンスから。この点一つずつから増やせるMcAfeeよりも柔軟性はない(今それでちょっと困っている)。
導入は自分で~わかりにくいよシマンテックのマニュアルは
またも導入は私が一人でやるのである。
事前にシマンテックのサイトにアクセスしてマニュアルをダウンロードする。目次だけで30ページ超。全体で1000ページを超える!マニュアルだ。必要そうなところから読んでみるが、図解もあまりなくて技術情報誌を読んでいるようだ。
*導入や運用のガイドは日経から出ているようなのだが、数年前の古いバージョン。新版は出してもらえないものかなあ。
*と思っていたらシマンテックのサイトに導入ガイドがあることを導入後に発見した。やれやれ。
導入ガイドのページ ビデオもあるようです
簡単インストールガイドのリンク先(PDFファイル 5.7MB)
さて、予定よりサーバーの到着が遅れてやきもきしたが、OSの設定をして導入開始。サーバーにはClassCプライベートアドレス(院内LAN)とClassAプライベートアドレス(インターネット系)2つのIPを設定し、当面このサーバーはドメイン外とした。
・・こんな設定でいいのかなあ。
で肝心のSymantec Endpoint Protection12のデータディスクは・・。代理店から届いた封筒には、ライセンス証とシリアルナンバーが。ああ、これもネットからダウンロードしろってことね。ネット接続前提だものね。けれど1.4GBのデータは、できればDVDなんかでもらいたかったなあ。
シマンテックのサイトでシリアル番号などを入力し、ダウンロード。
とりあえずデフォルト状態で各クライアントへ導入
管理用サーバーへ、EndpointProtectionの管理マネジャーをインストール。それが終わってから、各クライアントへサーバーを通じてインストールする。
インストール時の画面 サーバーのEndpoint Protection Managerからインストールするのが基本
インストール時の設定をカスタマイズしたい場合は、あらかじめ管理画面からインストールポリシーを作成しておく
とりあえずClassCの同じセグメントに組んであるネットワークに対して、IPアドレスを指定してクライアントを表示させる。この時端末側に設定してあるOS標準のファイアウォール設定やセキュリティ対策ソフトのファイアウォールを確認し必要に応じて解除する。
クライアントが表示されたのを確認してから、各クライアントに設定してある古いセキュリティソフトを削除(これ重要。ほとんどの場合競合するから)。Windows7はセキュリティソフトを削除すると、ファイアウォールの保護がきつくなるので、必要に応じてそれを解除。そして導入開始。
デフォルトで用意されているインストールポリシーは、「クライアントの完全保護(全部入り)」「サーバーの完全保護(メールソフトの保護のみ除外)」「サーバーの一部保護(Sonar機能など各種を除外)」とある。とりあえずクライアントでは電子メールは使わないので「サーバーの完全保護」とする。
*導入後にもポリシーを変更することで対応可能のようだ。
どうしてもリモートでインストールできないときはこの画面でインストーラーを作成して各端末で実行 管理サーバーにもきちんとつながります
テスト用にと事務室周りの数台に導入して稼働状況を確認する。電子カルテOK。印刷等もOK。事務系システムOK。ファイルサーバーへのアクセスOK。
LiveUpdateボタンを押すとインターネットにパケットを飛ばしている。当院院内LANはインターネットには未接続。設定上は管理サーバーにパターンを取りに行くようになっているはずだから、自動で取りに行くだろう、とそのまま帰って寝る。翌朝、きちんとパターン更新ができている。なんとかいけそうだ。
翌日その他の端末に順次導入。再起動が必要なため、電子カルテサーバーのみ3週間ほど遅れて導入。
こちらはファイアウォールを除外しようと思い、インストールポリシーをカスタマイズして導入(簡単)。今のところトラブルは特に発生していない。
WindowsServerUpdateServices(ウィンドウズアップデートを自前のサーバーで制御するサービス)の動作がおかしい。各クライアントからの報告が上がっていない。クライアントには導入したシマンテックファイアウォールの設定を見直し、管理サーバー上からポリシー設定を変更すると、動作が正常に戻った。まあドメイン内の端末だからFirewallは外してもよかったのだけど。
ファイアウォール設定はこの画面で作業
導入してからは~管理サーバーは便利
管理サーバーがある関係から、制御/管理できる機能は非常に増えた。各クライアントに強制的にインストールする機能はもちろん、クライアントの動作状況やパターンやポリシーのバージョンや適用時期の確認、クライアントのパターンアップデートやスキャンを管理サーバーから実施できたり、様々なレポートを排出できたり。
これらは管理サーバー外からでもWebブラウザを使って操作ができる。動作がちょっともっさりしているけれど。
**営業さんはWindowsServerが必要と言っていたけれど、パンフレットにもそう書いてあったけど、ダウンロードしたマニュアルにはクライアントOSも動作確認リストに載っていたんだなあ。まあ今更いいんですが。
アプリケーションとデバイス制御ポリシーを設定してUSBストレージを管理する
USBメモリ(この場合はデジカメ)を使用するとこのようにアクセスログが残る 特定デバイスを使用可能/使用不可能にすることも可能
ポリシー設定画面 ここにリストアップされているポリシー以外にも自分で作成可能
実は私たちの病院、端末でのUSBメモリ使用を原則禁じている。でも何か管理をしているわけではなくて、利用者のモラル頼みだったのだ。けれどこうしてログを見てみると、事前に私に了解を得たケース以外ではUSBメモリは使用されていない。
みんな真面目だなあ。ホントに助かります。
更新時は意外に重い
動作が軽くなることがメリットだったはずだが、パターンファイルの更新時には3分ほどかかっている。その間の動作はやや重くMcAfeeとそんなに変らない。またデフォルトではパターンファイル取得時に簡易スキャンを始めるようになっている。軽くなったとはいえ7~8分はかかっている。その間動作が重くなる。当院ではポリシー設定を変更して、パターンファイル取得時にはスキャンをしないようにした。
Symantecに思うところ
導入前、営業さんに色々確認したいことがあって、メールでは何だから電話をかけてみる。留守電になった。メッセージは英語!簡単な内容だから別にいいんだけどさ。外資なのは分かるけれど、日本支社ならやはり日本語がいいと思うけどなあ。
**私が以前いたシステム部門は、プロジェクトの「Taskforce」の意味が分からなくて困ってた(軍事用語ですが今やビジネス用語として頻出する)。こんなレベルの組織にあわせることはないんだけどさあ、でもねえ。
ダウンロードできる各種の情報もナレッジベースも、基本は英語を翻訳したもの。日本語として破綻してはいないから読めなくはないんだけど(Microsoftのそれは完全に日本語として破綻しているものがかなりある)、MSよりはましとはいえ、ちょっと不親切かなと思う。
管理サーバーメニューのあちこちにある「詳細はこちら」みたいなリンクをクリックすると、いきなり英語の説明に飛ぶ。・・まあ技術用語だから分からなくはないけどさあ、読むのに時間がかかるのよ。
導入の手間もさることながら、この辺のことも最大手なら考えてくれないものかな、と思いました。
まあ、導入から半年くらい経ち、良い面も悪い面も少しずつ見えてきた。でもおおむね満足しています。
ウイルスソフトないと危険だそうですね。
うちはとにかく電話でもサポートしてくれるところ選びます。
by ayu15 (2012-03-27 11:15)
ayuさん。
危険ですよ〜。7年前、セキュリティ対策してないパソコンが1日でウイルス(トロイの木馬)にとりつかれていたことがありました。そんな事例は、その後もたくさん見ています。
まあ、セキュリティソフトをいれていれば安全というわけでもないので、USBメモリやCDROMなどからのプログラム実行を拒否したりとかを合わせて対策して、かなり改善する面もありますけどね。
ちょっと不便にはなりますけどね。
by Mosel (2012-03-28 23:03)
EndpointProtectionは古いPCだと動作が重いんですよね。
デバイス制御をオプションにしてもらえばもう少し軽くなるのかな?
トレンドマイクロのウイルスバスターCorpも候補にあがりましたが、電子カルテで使用していたXPのSP2のサポートしてないし、印刷系で障害が発生したため(多分特定のプリンタドライバでの障害は認識しているはず)、トレンドマイクロに電話してもSP3にあげてください一点張りで、SPの更新は気が遠くなりそうだったので、電子カルテ入れ替え前の一年間、仕方なく使いました。
管理サーバのOSについてはMSのライセンスでWindowsServerを勧められたのではないかと思いますが・・・
シマンテックは古いOSでも対応してくれているとこに好感もてますが、マニュアルがアメリカンで分かり難いし、このごろ電子カルテ関連のメーカーでは敬遠されてるみたいですね
by NO NAME (2012-11-27 00:54)
ななしさん。お疲れ様ですね。
通常稼働時に動作が重い印象はありませんが、パターン更新時に数分間動作が非常に重くなりました。気になるレベルです。CPUは第一世代のCore2Duoですが。
ウイルスバスターCorpは別のところで使っていて、Vistaに対応しないだの、検出時の動作に問題ありだの(利用者が気付かない)で候補から除外です。
まあSEPは今の時点ではWin8に対応していないことがネックです。検索したら対応していると書いてあるのに、サポートに連絡したら「それは英語版だけで日本語版の対応は12月初旬を予定している」なんて言う。
この会社、英語圏が優先ですね。
もっとも英語としては簡単なので、このレベルの英語がネックにならないような知識は持っておきたいとは思っておりますが。
by Mosel (2012-11-27 07:13)