「 Flex Work Place AppSelf 」(以下、AppSelf) は2016年9月にリリースしました。
AppSelf はユーザーに管理者権限を与えることなく、管理者が許可したアプリケーションのみインストールすることを可能にするアプリケーション管理・統制用のソフトウエアです。
また、アプリケーションのインストールはユーザー自身で実施できるため、管理者は許可するアプリケーションのパッケージを作成するだけで、管理者権限でログオンしインストールするなどの作業工数を削減します。
本コラムでは、AppSelf が作成された経緯や開発時に発生した課題などについてご紹介します。
当社製品の「 Flex Work Place 」の提供を通して、クライアントPCの運用に関する課題の1つにPCを使用しているユーザーが管理者権限 (Administrator) をもったままで使用している例が多くあることが分かりました。
ユーザーに管理権限を付与すると Windows OS、Internet Explorer、Office 製品などのさまざまな製品の脆弱性の対象になってしまうことになり、非常に危険を伴います。
しかし、この課題についてIT管理者の方々は、「リスクがあることは理解しているが、管理者権限でインストールするためだけに拠点を移動するなどの工数増、また実際にアプリケーション管理を行う工数を考えるとやむを得ない」 という判断をされているようでした。
このことから、以下の点が実現できれば、ユーザーから管理者権限を付与しないようにすることでセキュリティーリスクを低減、さらにIT管理者のアプリケーション管理工数も削減できるのではないかと当社では考えました。
当社ではアプリケーション管理としても使用できる「 Flex Work Place Unifier 」という製品があり、上記機能を実現することは可能でした。
しかしサーバーを用意する必要がある・インストーラパッケージを作成する作業が少々複雑といった製品の特性のため、組織全体への展開には適していましたが、簡単に一般ユーザーがアプリケーションをインストールする点においては最適とは言えませんでした。
そこで、もっと簡単にセキュリティーを保持したままユーザーが容易にインストールを行えるようなアプリケーションが作成可能かを検討しました。
IT管理者ではなくユーザー自身でインストールできるようにすれば、IT管理者の工数を削減でき、ユーザーはIT管理者の作業を待つことなく、任意のタイミングでインストールすることが可能になります。
ユーザー自身が操作することを考え、インストール操作以外の操作を極力意識することが無いように設計を行いました。
また、「セキュリティーの確保」として、ユーザーが勝手にインストールできないよう、管理者が秘密鍵で署名したパッケージと合致している場合だけインストールできるように設計しました。
これにより、ユーザーが勝手にパッケージを作成しようとしても、管理者の秘密鍵が無ければインストールすることができなくなります。
その結果、図のように、ユーザーの操作は AppSelf で作成されたパッケージを実行すれば、IT管理者が承認している物であるかどうかが自動でチェックされ、問題無ければアプリケーションのインストーラが起動する、という動作をするように開発を進めました。
このような機能の開発を行っていく中で、製品化に向けて以下対策について検討する必要がありました。
これら課題に対応するため、 Windows に精通した当社のエンジニアがさまざまな調査、検証を実施し対応を行いました。
ひとつずつ調査・検証を行い、解決していった結果、「 Flex Work Place AppSelf 」という製品が誕生しました。
AppSelf を使用することで、IT管理者はアプリケーションのパッケージを作成しファイルサーバーなどで共有するところまで実施するだけでよく、ユーザーはIT管理者が提供しているパッケージを実行するだけでインストーラが起動し、必要なアプリケーションをインストールすることが可能になります。
PC使用者全員がインストールするアプリケーションについては、Flex Work Place Unifier やクローニングを使用し、部署単位や個別にインストールされるようなアプリケーションに関しては本 AppSelf を使用していただくことで、必要なアプリケーションをIT管理者の負担になることなく、ユーザーへ展開することが可能です。
本記事公開時点での最新版バージョン1.3.0では主に以下のような機能強化が図られています。
本製品はIT管理者に大きい運用負担をかけることなく、ユーザーが管理者権限を持つ必要が無い環境を実現します。
ユーザーの管理者権限をはく奪することで、管理者権限をもっていることを要因とする脆弱性のリスクを低減し、さらに当社の「データレスPC™」(Flex Work Place) と併用することで、セキュリティーに強く、運用しやすい環境を実現します。
今後の Windows 運用のためにも、一般ユーザーが管理者権限を使用し続けることは望ましい形ではありません。
このような課題をお持ちの方は、ぜひ一度 AppSelf をご検討いただけますと幸いです。