新サーバーの入れ替え

前回、サーバーに関するアドバイスを頂きまして
大変助かりました。

今回もサーバーの入れ替えの件に関しましてアドバイスお願いいたします。


内容→WindowsServer2000の保守期限とハードディスクの寿命等の理由に
　　　よりサーバーの入れ替えを行なうことになりました。

主な使用目的→ファイルサーバ及び奉行系のソフトをＬＡＮ環境で使用する

使用人数→５～６人程度

備考→ファイルサーバーだけならサーバＯＳを使用する必要がないと思いま　　　したが奉行系のソフトをＬＡＮ環境で使用する場合にＳＱＬサーバが　　　必要とのことでしたのでサーバーＯＳを現状では導入しております。
　　　


上記の状況下で現在新サーバーの入れ替えをする際に

(1)おおよその見積金額を知る方法
　※ただ、奉行系のソフトはカスタマイズされているため今までサーバーの　　点検及び保守をお願いしているシステム会社にお願いする必要があるこ　　と。

(2)サーバー入れ替えの際のセキュリティに関して
　システム会社にセキュリティの提案をお願いしたが当社のセキュリティー　ポリシー及び予算が分からないと回答のしようがない言われてしまいまし　た。当社には明確なポリシーがあるわけでもないため何とか必要最低限の
　設定だけでもお願いしたいのですが…。


以上
(1)見積相場及び(2)セキュリティ面に関してアドバイスをお願いいたします。



　
　

　
　

No.2 ベストアンサー 回答者： anmochi 回答日時： 2008/05/15 22:34

> (1)現在のWindows 2000 Serverマシンの構成等は何を判断するのに

> 必要になってくるのでしょうか。
　購入時期＋スペックで、当時の納入者がどれくらいのサーバ能力見積もりを行ったかがわかります。それにより今回どのくらいのサーバを入れれば良いかがある程度分かります。まぁ・・・・だから何だと言われたらそれまでなのですが。業者さんとしても決してムダにお高いオーバースペックなサーバにリプレースしようとはしないとは思いますが、「本当にこんな能力のサーバがこんなお値段で必要なのか？」が判断できるかどうかはわりと重要だと私は思います。元々見積金額算出方法から始まった話ですしね。

> (2)二階層型システム型のシステムの場合に検証が不要とのことですが
>　システム会社に確認をする必要があるということでしょうか？
　二階層型の場合、サーバには奉行シリーズなどのアプリケーションは入っていません。Windows OSと、新しいデータベースシステム（MS SQL ServerやOracle）の動作検証はMicrosoftやOracle社自身も含め(少なくとも日本の中小システムハウスよりは)かなり高いレベルで行われているため、奉行の主な業務処理を一通り行わなければ検証できないという事はほとんど無いと思います。が、不安という事であればもちろん作業依頼をしてもかまいません。
　
> (3)ファイルサーバ等のデータの流出による損害度合と
> その対応費用との比較はもう一度考える必要がありすです。
> どうやらＬＡＮの外（インターネット経由）への対策がなされて
> いないためサーバーを守る必要があること。
　これは、守る必要がある（現在守られていない）と誰かに断定されたのでしょうか？
> 主な使用目的→ファイルサーバ及び奉行系のソフトをＬＡＮ環境で使用する
から考えると、どんなへっぽこが設定したとしてもまさかインターネット直付けなんて事はありえないと思うのですが。そのサーバのIPアドレスがプライベートIPアドレス（10.x.x.xまたは172.16.x.x～172.31.x.xまたは192.168.x.x）であればどのような形態でもほぼ問題ないと思います。もしこれでそのサーバがインターネットから見えたとしたら、その設定は（あえてインターネットから見れるように）意図的に行われたとしか思えない。IPv6であれば万が一の可能性はありますがWindows 2000 Serverは標準ではIPv6は使えません。

> (1)主体認証→他部署の方が基本的にログインできないように設定する。
> ※パスワードを定期的に各ユーザが変更できるようにする。
　これはどちらかと言えば運用ポリシーなのでシステム屋がなんとかできるような話でも無いと思います。

> (2)主体認証（デバイス）→部署内で使用しているクライアント以外の
> パソコンを接続できないようにする。
>　※安全なパソコンであると確認ができればログイン可能な設定ができるなどの設定ができれば。
　おお、時代を先取りですね。この機能はWindows Server 2008には標準で組み込まれていますがWindows Server 2003にはありません。なのでそれなら2008の導入を検討されても良いでしょう。が、ActiveDirectoryが必須になるなど、初期設定が複雑になりますので下手な会社には任せない方が良いと思います。

> (3)ハードディスクの盗難によるデータの流出を防ぐための暗号化の設定
　これをしてるって事ですか？　したいって事ですか？　ハードディスクの暗号化はピンキリですが、キリの方はWindows Server 2008には組み込まれています。ピンの要求にはやはり日立さんの秘文など専用ソフトウェアの導入が必要でしょう。秘文であればサーバ1台クライアント10台としたらまぁ55万くらいですかね（この価格はあまり信用しないでください。業者に問い合わせてください）。

> (4)サーバがダウンしても作業が停滞しないようにするためのレイド設定。
>　※作業復旧時間は先方へ問い合わせ。
　？？？　RAIDはハードディスクの故障に対する技術でサーバダウンとは何も関係ないですぞ。普段は遊んでいる（電源入れっぱなしで何もしていない）あるいは眠っている（電源が入っていない）換えのサーバがあるという事ですか？　HAクラスタやホット・コールドスタンバイが要件に入ってくると価格はだいぶ変わってきます。

> (5)バックアップは(4)にて行なわれているが災害等に対応するため
> 遠隔地での保管によるバックアップ。
　RAIDは前述の通りハードディスク障害対策であり、人間が誤ってファイルを消したなどには対応できません。Windows Server 2003以上ではボリュームシャドウなる機能があって、一定期間ごとに隠しバックアップ領域をハードディスクの空いた場所に作るという機能がありますが、Windows 2000 Serverにはありません。
　遠隔地保管は非常に安心できますが、月数千円程度の単なるホスティングから月数万のトータルバックアップサービスまで、どこまで金を出せるかとどこまでやって欲しいかの兼ね合いですね。

　Windows Server 2008はこの4月に発売されたばかり（完成はもちっと前ですが）なので、正直な所を言えば無用なトラブルに巻き込まれないという可能性が無いとも言えないという事です。Windows NT 4.0の頃と比べたら断然マシですが、出てすぐのものに手を出すのは提案する側（システム屋の立場）としてはちょっと恐い所ですね。

　長々と書きましたが、要件がだいぶ見えてきたのではないでしょうか。今回のやり取りであなたが挙げた内容を要求メモとしてまとめておけば向こうさんも考えやすいと思いますよ。
　そう言えばサーバが古くなったという事で、あわせてUPSも古くなったという事も考えられますのでUPSも調べてみてください。私は一度ほったらかしにしすぎてふくらはぎがむくんでブーツを脱げなくなったおねいちゃんのごとくパンパンになったバッテリーを見た事があります。試しに電力供給を断ってみたら5秒くらいでバッテリー切れになって大爆笑しました。

この回答への補足

(1)サーバー側にてクライアントPCの設定を管理する。
　
　・ユーザーの管理→クライアントPCに対して使用許可のあるユーザーを管理する。

　・主体認証（人）→関係者以外の者がクライアントPCにログインできないようにID及びパスワードを設定する。

　・主体認証（デバイス）→サーバにて許可していない不正なデバイス（PC等）を勝手に接続できないようにする。

　・ID及びパスワードの管理→各ユーザがクライアントPCにログインする際のパスワードを定期的に変更することを促す機能を付加する。

　・アプリケーションのインストール管理→OFFICE（ワード等の標準ソフト）及びウィルスソフト等のアプリケーションのインストールをサーバー側にて一括してインストール管理する。
　　　　　　　　　　　　　　　　　　　　・クライアントごとのインストール作業をなくして省力化をはかる。
　　　　　　　　　　　　　　　　　　　　・危険なアプリケーションを勝手にインストールできないようにする。
　　　　　　　　　　　　　　　　　　　　
　・アプリケーションのヴァージョンアップ管理→作業の効率化のために一括してヴァージョンアップを行なうことができるようにする。
　　　　　　　　　　　　　　　　　　　　・既存のアプリケーションに対する不具合の可能性もあるためヴァージョンアップを行なうかどうかの個別管理ができるかどうか。

　・脆弱性に対する管理→作業の効率化のためにウィンドウズのアップデート及びパッチの修正等を一括して行なうことをできるようにする。
　　　　　　　　　　　　　　　　　　　　　・自動更新の設定が可能かどうか。
　　　　　　　　　　　　　　　　　　　　　


(2)サーバーのダウン時への対応

　・サーバーが実際にダウンした際の対応方法及び復旧への予想時間をはっきりさせる。

　・新サーバーを導入するまでに旧サーバーがダウンする可能性もあるため新サーバー同様、対応方法及び復旧への予想時間をはっきりさせる。


(3)バックアップ方法（データの保護）

　・日々行なうバックアップ方法及び使用デバイスをはっきりさせる。

　・リムーバブルディスク（磁気テープ・ＤＶＤ等）でのバックアップをとり遠隔地での保管を検討する。

　・ユーザーの不慮の操作による共有ファイル等のデータの復元をする機能を設定できるかどうかの検討をする。

　・サーバ-機のハードディスクの盗難の際にデータを盗聴されないように暗号化をする必要があるかを検討する。
　　　　　　　　　　　　　　

(4)ウィルスソフトの導入を検討する。

(5)その他

補足日時：2008/05/23 02:27

No.1 回答者： anmochi 回答日時： 2008/05/11 16:38

(1)質問の内容ではなんともいえません(現在のWindows 2000 Serverマシンの構成、能力、購入時期が分からないため)。

今出来るアドバイスとしては、サーバそのものの代金、ソフトウェア(SQL Server、Windows CALなど)の代金、新サーバの設定費用（サーバの初期設定、SQL Serverのインストール、データ移行）、そして、あるとしたら「OSアップグレード検証費用」を別個に出してもらい、それぞれの値段の根拠を示してもらう事ですかね。
　ハードとソフト(SQL Serverはアップグレードしないのであれば費用なし）はネットで相場は分かるでしょう。Windows CALの考え方はWindows 2000 ServerとWindows Server 2003 R2では異なりますので「前と一緒」ではいきません。
　私は奉行シリーズの細かい構成は知りませんが、単純な二階層型システムなのであれば、サーバを移行する検証は不要です。今から慌ててサーバを買うとしても、Windows Server 2008という選択肢はないでしょう。Windows Server 2003であれば、SQL Server 2000の動作検証はほぼ不要と言えます。なので、検証費用としてはせいぜい作業者2人×1日の2人日と言ったところでしょう。それ以上の作業日数を出されたらなぜ必要なのかを確認してください。

(2)ううん・・・・それはその業者さんの言い分に分があると私も思います。
　○○を防ぎたいから××という設定を行う、のであって、別に○○が脅威でもなんでもないのに××という設定を行ってもセキュリティ向上にはならないからです。その「最低限」の基準が分からない訳ですね。
　もし、本気で若干のお金を使う覚悟があるのでしたら、一度その業者さんに「一日作業者一人をよこして、うちの会社の現状を分析してセキュリティリスクを指摘してくれ。調査1日、分析・見積1日、提案1日の3人日分の費用は見とくから。」とお願いしてみると良いでしょう。何を防ぐべきか、という事を一緒に考えてもらうのです。少なくとも、今あなたの状況がさっぱり分からない私よりかはマシな提案をしてもらえるはずです。
　「セキュリティリスク」などのキーワードで検索してみて、自社だったらどうかと考えてみるのも良いでしょう。例えば、奉行のデータが社外に流出するとどのくらい困りますか？　ファイルサーバのあるファイルが社外に持ち出されるとどのくらい困りますか？　ファイルサーバにウィルスに感染したファイルが住み着くとどのくらい困りますか？　ウィルスメールが届くとどのくらい困りますか？　社内パソコンからのインターネット接続にプロキシは経由していますか？　インターネットと社内LANの接点であるルータでUPnPは動作していませんか？

この回答への補足

アドバイスありがとうございました。

大変申し訳ございませんが何点か分からないところがありましたので
もし宜しければ補足をお願いできますでしょうか…

(1)現在のWindows 2000 Serverマシンの構成等は何を判断するのに必要
　になってくるのでしょうか。明日システム会社へ問い合わせをして明らか　にします。

(2)二階層型システム型のシステムの場合に検証が不要とのことですが

　これはもし二階層型システムであるにも関わらず検証費用が加算されて
　いたらシステム会社に確認をする必要があるということでしょうか？
　
(3)情報セキュリティに関して

ファイルサーバ等のデータの流出による損害度合とその対応費用との比較は
もう一度考える必要がありすです。

その他私が危惧しているものとしては…

どうやらＬＡＮの外（インターネット経由）への対策がなされて
いないためサーバーを守る必要があること。
※ただこれに関してはシステム会社が現在使用している環境を導入する際に
　対策がとられていないのが疑問に残るところであります。

あと私が個人的に必要だと考えているものに

(1)主体認証→他部署の方が基本的にログインできないように設定する。
　※パスワードを定期的に各ユーザが変更できるようにする。

(2)主体認証（デバイス）→部署内で使用しているクライアント以外のパソコ　　　　　　　　　　　　ンを接続できないようにする。
　※安全なパソコンであると確認ができればログイン可能な設定ができるな　　どの設定ができれば。

(3)ハードディスクの盗難によるデータの流出を防ぐための暗号化の設定

(4)サーバがダウンしても作業が停滞しないようにするためのレイド設定。
　※作業復旧時間は先方へ問い合わせ。

(5)バックアップは(4)にて行なわれているが災害等に対応するため遠隔地での
　保管によるバックアップ。

を考えております。


システム会社へ相談するかどうかもう一度考えてみます。

補足日時：2008/05/12 02:21

この回答へのお礼

アドバイスありがとうございました。

申し訳ございませんが

上記以外に

２００８サーバを導入することはないとのことでしたが
これはどういった理由からなのでしょうか。

宜しくお願いいたします。

お礼日時：2008/05/12 03:10