1. 製品について

    データレスPCソリューション

    安全で快適なハイブリッドワークの環境を実現

    Passage 製品情報
    オンプレミス版
     Passage Drive 製品情報
    クラウド版

    Windows PC 運用支援ソリューション

    IT管理者とユーザーに負担をかけずに、Windows PCのメンテナンス、セキュリティー確保を実現

    Unifier Cast 製品情報
    Windows アップデート
    運用管理ツール
     AppSelf 製品情報
    アプリケーション
    配布管理ツール
    活用シーンから製品を選ぶ Flex Work Place が選ばれる理由
  2. 導入事例

    データレスPCソリューション

    セキュリティーと生産性の向上を両立し、場所を問わずPCが使える環境を実現。
    VDIからの乗り換え、PCリプレース時のデータ移行削減事例などをご紹介。

    Passage 導入事例
    オンプレミス版
     Passage Drive 導入事例
    クラウド版

    Windows PC 運用支援ソリューション

    大型アップデートの分散配布によるネットワーク負荷を軽減した事例などをご紹介。

    Unifier Cast 導入事例
    Windows アップデート
    運用管理ツール

    管理者が承認したアプリの展開をユーザーセルフ化し納期/工数削減した事例をご紹介。

    AppSelf 導入事例
    アプリケーション
    配布管理ツール
  3. セミナー情報
  4. 関連コラム
  5. 資料ダウンロード
  6. よくあるご質問
お問い合わせ

関連コラム

  1. Home
  2. >関連コラム一覧
  3. >関連コラム

AppSelf 開発秘話

作成日:2019/07/25

目 次

  1. はじめに
  2. アプリケーション管理と管理者権限ユーザー
  3. 一般ユーザーでインストールできれば
  4. 設計・開発してみた中で
  5. 最後に

はじめに

「 Flex Work Place AppSelf 」(以下、AppSelf) は2016年9月にリリースしました。

AppSelf はユーザーに管理者権限を与えることなく、管理者が許可したアプリケーションのみインストールすることを可能にするアプリケーション管理・統制用のソフトウエアです。
また、アプリケーションのインストールはユーザー自身で実施できるため、管理者は許可するアプリケーションのパッケージを作成するだけで、管理者権限でログオンしインストールするなどの作業工数を削減します。

AppSelf動作概要

AppSelf動作概要

本コラムでは、AppSelf が作成された経緯や開発時に発生した課題などについてご紹介します。

アプリケーション管理と管理者権限ユーザー

当社製品の「 Flex Work Place 」の提供を通して、クライアントPCの運用に関する課題の1つにPCを使用しているユーザーが管理者権限 (Administrator) をもったままで使用している例が多くあることが分かりました。

ユーザーに管理権限を付与すると Windows OS、Internet Explorer、Office 製品などのさまざまな製品の脆弱性の対象になってしまうことになり、非常に危険を伴います。

しかし、この課題についてIT管理者の方々は、「リスクがあることは理解しているが、管理者権限でインストールするためだけに拠点を移動するなどの工数増、また実際にアプリケーション管理を行う工数を考えるとやむを得ない」 という判断をされているようでした。

一般ユーザーでインストールできれば

このことから、以下の点が実現できれば、ユーザーから管理者権限を付与しないようにすることでセキュリティーリスクを低減、さらにIT管理者のアプリケーション管理工数も削減できるのではないかと当社では考えました。

  • 一般権限ユーザーが自分自身で管理者権限を必要とするアプリケーションをインストールできる
  • IT管理者が許可したアプリケーションしかインストールできない

当社ではアプリケーション管理としても使用できる「 Flex Work Place Unifier 」という製品があり、上記機能を実現することは可能でした。
しかしサーバーを用意する必要がある・インストーラパッケージを作成する作業が少々複雑といった製品の特性のため、組織全体への展開には適していましたが、簡単に一般ユーザーがアプリケーションをインストールする点においては最適とは言えませんでした。

そこで、もっと簡単にセキュリティーを保持したままユーザーが容易にインストールを行えるようなアプリケーションが作成可能かを検討しました。

設計・開発してみた中で

IT管理者ではなくユーザー自身でインストールできるようにすれば、IT管理者の工数を削減でき、ユーザーはIT管理者の作業を待つことなく、任意のタイミングでインストールすることが可能になります。
ユーザー自身が操作することを考え、インストール操作以外の操作を極力意識することが無いように設計を行いました。

また、「セキュリティーの確保」として、ユーザーが勝手にインストールできないよう、管理者が秘密鍵で署名したパッケージと合致している場合だけインストールできるように設計しました。
これにより、ユーザーが勝手にパッケージを作成しようとしても、管理者の秘密鍵が無ければインストールすることができなくなります。

その結果、図のように、ユーザーの操作は AppSelf で作成されたパッケージを実行すれば、IT管理者が承認している物であるかどうかが自動でチェックされ、問題無ければアプリケーションのインストーラが起動する、という動作をするように開発を進めました。

このような機能の開発を行っていく中で、製品化に向けて以下対策について検討する必要がありました。

  1. 画面の出力先
    インストーラが実行されたときの画面をログオンユーザーの画面へ適切に出力するようにする制御の仕組みが必要になります。
  2. パッケージのフォーマット
    ユーザー側がパッケージを改ざんできないようにするため、インストーラをまとめる際のフォーマット形式を独自設計で開発しました。
    これにより、ユーザーなどがパッケージを勝手に入れ替えたりできないようにしています。
  3. ユーザープロファイルへのアクセス
    ローカルシステム権限を使用したインストールを実施すると、ユーザープロファイルへのアクセスに失敗する事象があり、結果、ユーザーのデスクトップにショートカットを配置するアプリケーションなどはインストールに失敗する、といった事象が発生しました。

これら課題に対応するため、 Windows に精通した当社のエンジニアがさまざまな調査、検証を実施し対応を行いました。
ひとつずつ調査・検証を行い、解決していった結果、「 Flex Work Place AppSelf 」という製品が誕生しました。

最後に

AppSelf を使用することで、IT管理者はアプリケーションのパッケージを作成しファイルサーバーなどで共有するところまで実施するだけでよく、ユーザーはIT管理者が提供しているパッケージを実行するだけでインストーラが起動し、必要なアプリケーションをインストールすることが可能になります。

PC使用者全員がインストールするアプリケーションについては、Flex Work Place Unifier やクローニングを使用し、部署単位や個別にインストールされるようなアプリケーションに関しては本 AppSelf を使用していただくことで、必要なアプリケーションをIT管理者の負担になることなく、ユーザーへ展開することが可能です。

本記事公開時点での最新版バージョン1.3.0では主に以下のような機能強化が図られています。

  • リモートデスクトップからの操作
  • ユーザー名 / マシン名やADの組織単位 (OU) などをキーとしたインストール対象の選択機能
  • アンインストールの前にサービスを停止する必要があるアプリケーションなどのために、インストール前/後の前に任意のスクリプトを実行するスクリプト起動機能

本製品はIT管理者に大きい運用負担をかけることなく、ユーザーが管理者権限を持つ必要が無い環境を実現します。
ユーザーの管理者権限をはく奪することで、管理者権限をもっていることを要因とする脆弱性のリスクを低減し、さらに当社の「データレスPC™」(Flex Work Place) と併用することで、セキュリティーに強く、運用しやすい環境を実現します。

今後の Windows 運用のためにも、一般ユーザーが管理者権限を使用し続けることは望ましい形ではありません。
このような課題をお持ちの方は、ぜひ一度 AppSelf をご検討いただけますと幸いです。

関連製品のご紹介

AppSelf
セキュアなPC環境の実現が可能 詳しくはこちら 資料ダウンロード
ページTOPへ