マカフィーは毎年の更新に1ライセンス5200円ほどかかる。シマンテックに変更して、2割増し価格くらいなら何とか決済されるかなと思っていたら、「乗換キャンペーン」で1クライアント3000円台前半の見積もりが出た。
(注1)(注2) 毎年の更新費用も定価でさえ3676円(25~49クライアント時)。代理店に見積もり出させると、更新費用は2500円くらいになった。これは安い。
ただしこのEndpointProtectionには管理用サーバーが必要との説明を受けた。Windowsサーバーが必要とのこと。このサーバーOSが高いのだ。結局シマンテックとは別に20万ほどでサーバーを調達。更新費用も安くなるから数年でサーバー費用は回収できる旨の起案をした。あっさり決済される。
(注1)今はキャンペーンで、さらに安くなっている。乗換版だと2000円を優に下回る。(注2)ライセンスは新規/乗換それぞれで5ライセンス以上から購入する必要がある。あとで追加のライセンスを発注するのも5ライセンスから。この点一つずつから増やせるMcAfeeよりも柔軟性はない(今それでちょっと困っている)。導入は自分で~わかりにくいよシマンテックのマニュアルは またも導入は私が一人でやるのである。
事前にシマンテックのサイトにアクセスしてマニュアルをダウンロードする。目次だけで30ページ超。全体で1000ページを超える!マニュアルだ。必要そうなところから読んでみるが、図解もあまりなくて技術情報誌を読んでいるようだ。
*導入や運用のガイドは日経から出ているようなのだが、数年前の古いバージョン。新版は出してもらえないものかなあ。*と思っていたらシマンテックのサイトに導入ガイドがあることを導入後に発見した。やれやれ。導入ガイドのページ ビデオもあるようです簡単インストールガイドのリンク先(PDFファイル 5.7MB) さて、予定よりサーバーの到着が遅れてやきもきしたが、OSの設定をして導入開始。サーバーにはClassCプライベートアドレス(院内LAN)とClassAプライベートアドレス(インターネット系)2つのIPを設定し、当面このサーバーはドメイン外とした。
・・こんな設定でいいのかなあ。
で肝心のSymantec Endpoint Protection12のデータディスクは・・。代理店から届いた封筒には、ライセンス証とシリアルナンバーが。ああ、これもネットからダウンロードしろってことね。ネット接続前提だものね。けれど1.4GBのデータは、できればDVDなんかでもらいたかったなあ。
シマンテックのサイトでシリアル番号などを入力し、ダウンロード。
とりあえずデフォルト状態で各クライアントへ導入 管理用サーバーへ、EndpointProtectionの管理マネジャーをインストール。それが終わってから、各クライアントへサーバーを通じてインストールする。
インストール時の画面 サーバーのEndpoint Protection Managerからインストールするのが基本インストール時の設定をカスタマイズしたい場合は、あらかじめ管理画面からインストールポリシーを作成しておく とりあえずClassCの同じセグメントに組んであるネットワークに対して、IPアドレスを指定してクライアントを表示させる。この時端末側に設定してあるOS標準のファイアウォール設定やセキュリティ対策ソフトのファイアウォールを確認し必要に応じて解除する。
クライアントが表示されたのを確認してから、各クライアントに設定してある古いセキュリティソフトを削除(これ重要。ほとんどの場合競合するから)。Windows7はセキュリティソフトを削除すると、ファイアウォールの保護がきつくなるので、必要に応じてそれを解除。そして導入開始。
デフォルトで用意されているインストールポリシーは、「クライアントの完全保護(全部入り)」「サーバーの完全保護(メールソフトの保護のみ除外)」「サーバーの一部保護(Sonar機能など各種を除外)」とある。とりあえずクライアントでは電子メールは使わないので「サーバーの完全保護」とする。
*導入後にもポリシーを変更することで対応可能のようだ。どうしてもリモートでインストールできないときはこの画面でインストーラーを作成して各端末で実行 管理サーバーにもきちんとつながります テスト用にと事務室周りの数台に導入して稼働状況を確認する。電子カルテOK。印刷等もOK。事務系システムOK。ファイルサーバーへのアクセスOK。
LiveUpdateボタンを押すとインターネットにパケットを飛ばしている。当院院内LANはインターネットには未接続。設定上は管理サーバーにパターンを取りに行くようになっているはずだから、自動で取りに行くだろう、とそのまま帰って寝る。翌朝、きちんとパターン更新ができている。なんとかいけそうだ。
翌日その他の端末に順次導入。再起動が必要なため、電子カルテサーバーのみ3週間ほど遅れて導入。
こちらはファイアウォールを除外しようと思い、インストールポリシーをカスタマイズして導入(簡単)。今のところトラブルは特に発生していない。
WindowsServerUpdateServices(ウィンドウズアップデートを自前のサーバーで制御するサービス)の動作がおかしい。各クライアントからの報告が上がっていない。クライアントには導入したシマンテックファイアウォールの設定を見直し、管理サーバー上からポリシー設定を変更すると、動作が正常に戻った。まあドメイン内の端末だからFirewallは外してもよかったのだけど。
ファイアウォール設定はこの画面で作業導入してからは~管理サーバーは便利 管理サーバーがある関係から、制御/管理できる機能は非常に増えた。各クライアントに強制的にインストールする機能はもちろん、クライアントの動作状況やパターンやポリシーのバージョンや適用時期の確認、クライアントのパターンアップデートやスキャンを管理サーバーから実施できたり、様々なレポートを排出できたり。
これらは管理サーバー外からでもWebブラウザを使って操作ができる。動作がちょっともっさりしているけれど。
**営業さんはWindowsServerが必要と言っていたけれど、パンフレットにもそう書いてあったけど、ダウンロードしたマニュアルにはクライアントOSも動作確認リストに載っていたんだなあ。まあ今更いいんですが。アプリケーションとデバイス制御ポリシーを設定してUSBストレージを管理するUSBメモリ(この場合はデジカメ)を使用するとこのようにアクセスログが残る 特定デバイスを使用可能/使用不可能にすることも可能ポリシー設定画面 ここにリストアップされているポリシー以外にも自分で作成可能 実は私たちの病院、端末でのUSBメモリ使用を原則禁じている。でも何か管理をしているわけではなくて、利用者のモラル頼みだったのだ。けれどこうしてログを見てみると、事前に私に了解を得たケース以外ではUSBメモリは使用されていない。
みんな真面目だなあ。ホントに助かります。
更新時は意外に重い 動作が軽くなることがメリットだったはずだが、パターンファイルの更新時には3分ほどかかっている。その間の動作はやや重くMcAfeeとそんなに変らない。またデフォルトではパターンファイル取得時に簡易スキャンを始めるようになっている。軽くなったとはいえ7~8分はかかっている。その間動作が重くなる。当院ではポリシー設定を変更して、パターンファイル取得時にはスキャンをしないようにした。
Symantecに思うところ 導入前、営業さんに色々確認したいことがあって、メールでは何だから電話をかけてみる。留守電になった。
メッセージは英語!簡単な内容だから別にいいんだけどさ。外資なのは分かるけれど、日本支社ならやはり日本語がいいと思うけどなあ。
**私が以前いたシステム部門は、プロジェクトの「Taskforce」の意味が分からなくて困ってた(軍事用語ですが今やビジネス用語として頻出する)。こんなレベルの組織にあわせることはないんだけどさあ、でもねえ。 ダウンロードできる各種の情報もナレッジベースも、基本は英語を翻訳したもの。日本語として破綻してはいないから読めなくはないんだけど(Microsoftのそれは完全に日本語として破綻しているものがかなりある)、MSよりはましとはいえ、ちょっと不親切かなと思う。
管理サーバーメニューのあちこちにある「詳細はこちら」みたいなリンクをクリックすると、
いきなり英語の説明に飛ぶ。・・まあ技術用語だから分からなくはないけどさあ、読むのに時間がかかるのよ。
導入の手間もさることながら、この辺のことも最大手なら考えてくれないものかな、と思いました。
まあ、導入から半年くらい経ち、良い面も悪い面も少しずつ見えてきた。でもおおむね満足しています。