「全社をネットワークで繋いで・・・」というキャッチフレーズを良く会社案内などで見るのですが実はこれがなかなか大変で・・・
全部の事業所が数十人もいや十数人でもいるような会社ならともかく、数人、下手すれば1人しかいないとなるとそのネットワークの構築には頭を抱えます。
一番の問題はコストと安全で、業務のデータをネットワークに持ちますのでそれが最優先される課題となります。
コストの問題で言うと、インターネット回線を利用したVPNが最も安価となるのですが　何処からでも接続できると言う方式は実は非常に問題があるので　固定IPを使い拠点間VPUはハードで処理し　PCなどには局間接続情報を持たせないという方式を取っています。
相手先が固定のIPのみ接続すると言うやり方はそれだけで随分セキュリティのレベルが高くなります。
その次にやることは、VPNの回線はインターネットの中を通りますが　各拠点でのインターネットの閲覧を禁じること。
これも、人数の多いところであれば　複数台のPCがあるものの一台しかないところで何かの障害が起きても見る人が要領を得ないために修復が難しいこともあり禁止してしまったわけです。
ちなみに、メールだけは透過するように設定はしてあります。
　
本社側は専用のファイヤーウオールを持ったルーターを導入し必要外のポートは全て塞いだ上で、回線を二つに分け起点となる拠点間を繋ぐVPNに関してはVPN専用として　インターネット回線ながら他の用途には使わないようになっています。
同じファイヤーウオールを間に入れていますが、障害時の回線確保の為に　違うプロバイダーと経路を使うADSLに分けた回線は　主要で無い（上記の人の少ないと同意）拠点へのVPNとインターネットの回線に利用しています。
何故、主回線と成る光回線をインターネットに使わないかと言うと　一つはVPN回線をアクセス回線に使ったときにトレースされ易いことと、回線が遅ければ遅いほどダウンロードもアップロードも少なく　何らかのスパイウエアなどが大量のデータを送り出そうにも回線速度以上のデータが送り出せないということになり　流失を防ぎ易いということもあります。
トラフィックメーターを見ていても、そういう事態が発生しても24時間のデータの流れなどが発生すれば一目瞭然だからである。
そして、こういう対応でだったが故にコストを抑える為に　アンチウイルスソフトもパッシブセーフティの機能に絞られた物としたわけです。
本社館内は定期的な検査が可能なので、その際にも何とかなるだろうというわけである。
ちなみに、メールの送受信もVPN網内を経由して本社経由で取りに行くようになっていますので　そこにはファイヤーウオールが入っていると言うこともあります。
　
ところが、各拠点でインターネットの利用を要求するようになって来ました。
使って何をするということもありますが、使われると呼び込まれるものもありえるわけで　もしもそういうことを行い業務で使っているアプリケーションなどに障害が起きたら（本社ではなく拠点で）えらいことになるわけです。
当然、担当者としては犯人探しも必要になるので　ちょっと嬉しくない話となります。
また、使う営業所を絞って開放などと言う難しいことをするのも大変ですし　複数のリビジョンのアンチウイルスの拠点展開を管理するのも大変な為　アクティブセイフティの機能までもったアンチウイルスソフトの導入となるとそれも大変なわけです。
これは拠点展開よりも、コストの面で大変なわけです。
アンチウイルスの価格ぐらいでという話になるかもしれませんが、何が必要なのかがなかなか理解してもらえないのがこの世界の話で　必要かどうかではなく　レベルと機能の違いなど例を出して例えて言うこともできない程のは無しとなってきています。
専門の技術者にすら説明会が開かれるぐらいなのですから、一言で素人に説明しろと言うのが無理な話で　私だって良く判らないわけです。
ましてや、インターネットの接続にコストが掛かると言う意識が無いわけです。
自宅では大丈夫だと胸を張って言われても、本当に大丈夫かどうか怪しいわけですから・・・
出来れば会社のデータを家に持って帰る人の全部の家に行ってチェックをして見たいぐらいです。
で、それに全営業処分の数量をかけた金額の請求書を会社に出す度胸がなかなかでないのである。（出すんですけどね　蹴られるだけで）
そう思うとシステム管理者は因果な仕事で、犯罪が凶悪化してくるのに対して　その防御策を強めてゆくわけですが全社的にコスト削減を図っている時期に追加投資の話を持って言って　どんな効果があるのかと聞かれたときには　もしもの安全性が高まりましたと形のない効果を説明しなければいけないわけなのです。
今まで大丈夫だったから今後も大丈夫という意識をいかにして変えてもらうかと言うことになってしまうわけです。
　
もうひとつ大きな問題があって、トラフィックの大きな変化などを監視するための仕組みとして外部への出力（この場合はメール）を全て本社経由のルーターを経由するようにしていますので　拠点間のVPNのスループットに大きな影響が出るわけです。
VPNもさほど高級なものを使っているわけではないので、業務用途には十分ながら動画サイトなどを見られると耐え切れずに業務そのものの速度が回線がボトルネックとなり著しく速度が落ちる可能性がある。
各拠点から直接インターネット回線に乗り出されると監視が出来なくなり　ひとつ前に戻るのですがセキュリティの強化とファイアーウオールの強化が必要となってしまうわけです。
その設定は恐らく現地作業でないと出来ないような問題に・・・・・
ポートの開け閉めなどを各拠点分を全部設定するのは勘弁して欲しいわけです。
　
結果的に各拠点でインターネット専用の端末を導入してモバイル回線を入れたらどうだと見積までしたわけです（笑）
没になったのは、プリンタにつながらないと言う理由だったのが笑えますが　多分、あちこちでおかしくなったとかで送り返してこられるんだろうな・・・
と言っているときに事件が起きまして、私のPCがお亡くなりになりました。
先日来調子が悪かったので対応は万全ですし、時折止まるというか止まる頻度が非常に高くなったということで　もう駄目だとなったわけなのですが・・・
実はただのデスクトップが、24時間運用で5年以上経過なので良くもったほうなのです。
5年前にはあまり一般的ではなかったものの、現在ではオンラインの監視システムが一般的となり　監視するアプリケーションと監視元をこのPCにするだけでかなりの情報をこのPCに送ってきてくれます。
特定の接続方法で特定のポートを使い　ソフトウエアでVPNをかけるソフトも入っており　何かの事態に対しても何処からでもこのPCだけにアクセスできる口を用意しているのでそのためにも24時間運用だったわけです。
通常のデスクトップでこういった運用をするとやはり　5年を待たずして壊れることが多いので今回はサーバークラスの導入を考えていたところにDELLのキャンペーンの豪華適用が確認できたので　エントリークラスサーバーでの導入となるところでした。（WIN　SVR　２００８付きで　SVR単体の価格より安いって　どなってるんだー！！見たいなセール）
WIN　SVRにはCALも５つついているのでおまけとしてもお買い得です。
プレーンに使えば　２００８SVRはなかなか便利だとは使っていて思ったのですが、いっそのことこの中に拠点のインターネット用のゲートウエィを作ったらどうなんでしょう？
調べてみると、WIN　XP Proも結構処分したい販売店があるようで値段が下がりつつある。
それを仮想化して　各拠点からリモートでIP接続させれば　他のネットワークに干渉することのないPCがインターネットにだけ繋がるようにも設定できる。
動画サイトを見ても帯域制限をかけておけば（接続速度の設定で行う）紙芝居になるだけでVPNに流れるパケットは最大値をもって設定できます。
もしも何かあっても、自分のPCの中なのでチェックも操作も何処にも行かずにできます。
アンチウイルスもアクティブセーフティな物をこれにだけ入れて　ウイルスチェックもサイトの巡回チェックも可能なわけです。
　
アクセスする側にしてみれば、全社で1人しかアクセス出来ないという欠点は有るものの安全性ではかなり確保し易い物です。
WIN　SVRと仮想化されたOSでは完全に別物として切り離されているのでそういった意味では使い易い物と成ります。
ちょっと見積をいじって、2個のCPUを4個にして　HDDを二個に分ければ十分使えるようになります。
プリンタの問題も気になったのですが、FAXの機能の付いた複合機があるので各拠点のFAXにPCから直接出力すれば綺麗な出力も可能です。
あとは、この予算が出るかどうかなんですが・・・・
とにかく、小さな会社のシステム管理者は苦悩に尽きないわけです。