熊石地域のICT-BCP

ども。
いま一番必要なのは時間だと感じている担当ちゅんです。

当町ではICT部門の業務継続計画(ICT-BCP)の初動版を策定し運用しています。平成26年度に策定後、机上訓練や定期見直しなどを繰り替えし実施し、ようやく計画自体が「自分たちのもの」という実感が沸くようになりました。それと同時に不足している点や課題も目に付くようになり、今年度はこれまで未検討となっていた熊石地域(総合支所)のICT-BCPについて検討していくこととしました。

計画の策定にあたり、先日、熊石総合支所の防災担当職員を交えて意見交換を実施しました。実際に災害が発生したと想定して、現場の職員はどのような動きをするのか。また、何が無ければ困るのか、どういう順番に復旧しなければならないのかなど、実際に災害対策を行う職員から生の声が聞けたことで、かなり具体的なイメージがわきました。

現在、熊石総合支所の情報システムについては、基本的には八雲地域の役場本庁舎とネットワーク接続されていることが前提で動作するように設計されています。ですから、災害などによってこの「通信」が切断されてしまうと、業務の継続に大きな影響が出るということがわかりました。ICT-BCPとして考えなければならないこととしては、この「通信」をどのような手順により最短で復旧させられるかという点と、そもそも復旧が困難な場合は代替手段は考えられるかという点で検討を行う必要がありそうです。今回、状況を改めて確認したことで、早急に対策を行わなければ大変なことになるという危機感を共有することができました。

おそらく、ICT-BCPが策定できたとしても、全ての点においてすぐに完全な形で実行できるものにはならないかもしれません。項目によっては数年かけて徐々に整備・整理が必要な項目もあろうかと思いますが、まずは手の届く範囲から、確実に一歩ずつでも「前進」することが重要なのだと思っています。熊石総合支所の防災担当職員の「不安なので何とかしたい!」という熱い思いも受け止めながら、しっかりと計画策定に向け頑張ります。

議論中
総合支所の職員体制として「情報担当職員がいない」ということも大きな課題です

(投稿者:ちゅん)

カテゴリー: つぶやき | コメントする

リモートデスクトップがつながらなくなり焦る

ども。
名刺入れを上着のポケットに入れたまま洗濯してしまった担当ちゅんです。

さて、本日は結構大変だった話をご報告します。「にわか」ではない「本物」の方にとっては「そんなことも知らないでよく仕事できてるね」という話かもしれず、ちょっと恥ずかしい話になるかもしれません。
先日、とある業務システムで利用してきた「リモートデスクトップ接続(RDS)」が突然つながらなくなってしまいました。

接続しようとすると、エラーメッセージが表示されます。内容は「要求された関数はサポートされていません」です。「関数??」なんのこっちゃ。とりあえずエラーの内容をメモに書き止め、すぐさまネットで検索してみます。すると、想像以上に原因はすぐ特定できました・・・と、同時に口から出た言葉は、

「またか・・・」

またしても某窓のアップデート。今回の件については、某窓が2018年5月に実施したアップデートにより、「リモートデスクトップのクライアント、サーバーそれぞれで利用できる認証プロバイダ(CredSSP)のバージョンに差が生じた」というのが原因のようです。簡単に言えば、クライアントとサーバーとの間で同じ某窓アップデートを適用していないとRDSに接続できなくなるというもの。う~ん、なぜこんな重大なことが知らないうちに実行されてしまうのか。私のアンテナが低いだけなのでしょうか。正直、もうついていけません。

で、業務が止まってしまいましたので、これを手っ取り早く解決する方法はないかと調べました。正攻法であれば某窓アップデートを実行するという手順になるのでしょうけど、軽はずみに実行して業務システムのサーバーが再起動でもしてしまっては大変です。そこで、とある「本物」の方にお尋ねしてみたところ、「サーバー側でリモートデスクトップを許可する際に、ネットワークレベル認証で・・・(推奨)というオプションがあると思うのですが、そのチェックを外せばいいんですよ」と教えてもらいました。なるほど、よくわかりませんがそういうことであれば「えい!」。

結果、無事にRDSに接続できるようになり一安心です。「推奨」というオプションですから、本来はこれを利用している方がセキュリティレベルは高まるのでしょうけど、そもそもFWの配下にある、クローズドネットワーク内でのRDSです。さほど気にする必要はないのでしょう。それにしても、RDSへの依存度が高い昨今の状況で、いきなり接続できなくなるアップデートは勘弁してほしいです。

RDS
で、結局このオプションの意味は分からないまま。

(投稿者:ちゅん)

カテゴリー: つぶやき | コメントする

隠しファイル

ども。
宇宙飛行士の地球への帰還をリアルタイムで見て、鳥肌が立つほど感動した担当ちゅんです。

そんなスケールの大きな話とは打って変わって、今日はズッコケ話を。先日より、多くの職員から「共有フォルダを見つけられなくなった」と問い合わせを受けていました。このフォルダは、職員が自由に利用できる「一時保管場所」の位置づけで運用しているもので、誰でも使うことができる代わりに一定期間でファイルを全削除するバッチを仕込んであります。通常はキッティングの中でデスクトップ上にショートカットを出してあげて、使ってもらっています。

そのフォルダが見つけられないとのことで、実は私自身は何の話だかよくわかりませんでした。自分のPCでアクセスしてみるとちゃんと利用できますし、ファイルサーバにも普通に表示されています。
でも、新しいPCを展開する作業をしていて、その作業中にファイルサーバを見てみると確かにそのフォルダだけが見つけられません。臨席の相棒にその旨を話してみると「僕も同じです。だから直接パスを手打ちしていました」とのこと。どうやら見つけられない現象はこのことのようです。

調べました。今回の現象は、つまり「ある共有フォルダが、特定の環境にあるPCからのみ見ることができて、圧倒的多数のPCからは見ることができない。でも、パスを直打ちすれば利用は可能」という案件。不思議ですね。
ちょっと状況を解決できずにいると、隣席から「あれ!?」と声が聞こえました。見ると相棒は共有フォルダのプロパティを開いています。「・・・まさか!」と思いましたが、そのまさかでした。何と、その共有フォルダ、いつの間にか属性が「隠しファイル」に変更されていたのです。

これ、にわかSEによくある話かもしれませんが、共有フォルダを作るとき、誰でも自由に使うことができる権限を「Everyone – フルコントロール」としがちです。今回のケースもこれに該当していました。だからユーザー側で任意に(おそらく意図せずに)属性を変更されてしまったというわけです。

共有フォルダの利用だけのことでいえば、「Everyone – フルコントロール」の設定でも正しいといえば正しいのですが、ドメイン環境下ではEveryone よりもAuthenticated Users を使うほうがセキュリティ的には正しいですよね。Everyone は本当の意味で「全て」になってしまうので、Guest も含まれてしまいます。
で、今回の問題である権限ですが、フルコントロールもEveryone 同様に、本当に何でもできてしまいます。例えばその共有フォルダの削除や属性の変更までもが可能。この場合は、フルコントロールではなく「変更」が正しいのです。設定は簡単で、フルコントロール以外の権限を全て付ける。そうすると属性は「変更」となり、そのフォルダの内部では何でもできます、ただし親フォルダに対しては何もできませんとなります。ある日突然、共有フォルダが消えてしまわないように、今一度チェックしてみようと思います。

隠しファイル
なぜこれにチェックが入っていたのか・・・

(投稿者:ちゅん)

カテゴリー: つぶやき | コメントする

やっぱり有線、引きます!

ども。
いよいよ業務に追われはじめた担当ちゅんです。

さて、先日、当ブログで「議会中継システムの構築をしています」と記事を書きました。その中でLANケーブルを議場に引き入れることを断念した旨ご報告していたところでしたが、当ブログのレジェンド「元上司92氏」から「過去の工事で議場の直前までLANケーブルを引いてあって、廊下の天井裏に余長をとって置いてあるぞ」とアドバイスを受けました(アドバイス・・・というより、これはプレッシャー?かも)。
私が不在のときに職場に現れ、隣席の相棒にそれだけを言い残して、颯爽と去っていったようです。つまりは「無線ではなく有線でやってはどうか」ということなのだと解釈しました。

とはいえ、今回課題となっている個所は廊下の天井裏ではなく、そこからどうやって議場に引き入れるのか、さらには議場に引き入れた後にどうやって事務局の机まで持っていくのかでした。これが解決できない以上、やはり無線で構築したほうが見栄えがいいのではないかと思っていました。そう、昨日の朝までは。

昨日、議会中継システムのカメラ機器設置のため、業者さん3名が現場に入りました。この業者さんは既存の議場システムの構築元であり、現状、議場の中をどのようなルートで配線がなされているかを熟知されているようです。遠くからこっそり現場を見学していると、何やら廊下天井の建材(ジプトーン)を剥がして作業をしているようです。もう少し近づいてじっくり見てみると、天井裏の同軸ケーブルを引っ張って、議場内から「あー、それだ、それ!」などと声を出されています。

これはつまり、議場の外と内をつないでいる「穴」があるということ。さらには、議場内の分電盤から事務局の机までは「配管」もあるということがわかりました。こうなれば、話は変わってきます。すかさず「あのぉ~、たいへん申し訳ありませんがぁ~、もしLANケーブルを一緒に通してほしいと言ったらどんなもんでしょうかねぇ?」と様子を探ってみます。すると、見るからに職人風な作業員の方から「なら、今すぐここにLANケーブルを持ってきて!」と。

そこから先は一心不乱。なにせLANケーブルは「議場の直前まで」しか引かれていません。これを急遽、十数メートル先まで延ばさなければならず、天井裏の断熱材(グラスウール)に耐えながらケーブルフィッシャーで引っ張ります。もう汗だくですし、なによりも首元がグラスウールでチクチク。それでもなんとか、目的地までLANケーブルが到着。無事、議場に引き入れてもらい、目的の場所まで通線することができました。不意な肉体労働で全身に疲労感、さらには上半身がグラスウールまみれで不快感極まりない状態ではありましたが、とっさの判断により無線は有線になりました。これもひとえに「元上司92氏」のアドバイスのおかげです。感謝しています!

議場前での工事風景
作業員の方のご厚意にも感謝です!

(投稿者:ちゅん)

カテゴリー: つぶやき | コメントする

電柱立て

ども。
外勤が続き、事務が滞っている担当ちゅんです。

そんな状況ですが、今日も外勤でした。とある学校にてこのたび光回線が新規開通する運びとなり、本日はその事前工事として「電柱立て」を行っておりました。
「立てた」と言っても、正確には電柱立て作業に「立会した」という話であり、我々が穴を掘って電柱を立てたわけではなく、場所の指示だけを出させてもらい、あとは通信工事のプロが作業を行っているのをじっくりと見学させてもらいました。

実は数年前に一度、電柱を立てる作業を見たことはありました。今回は2回目だったので大体の作業は把握しておりましたが、やはり一筋縄ではいきませんでした。
我々が現場に到着すると、工事業者さんはすでに現場で作業に着手している様子・・・でしたが、何となく雲行きが怪しい。皆さん腕組みをしながら、スコップを持つ手が止まっておりました。
話を聞くと「図面には無い管にあたってしまった」とのことで、私も思わず天を仰ぎました。

すでに数十センチほど掘り進められた穴の底に、コンクリート製の管が見えます。どうやらこの管は排水用の管のようです。実は、事前に図面も確認していたのですが、それは「電気設備工事」の外構図面であり、私は地下埋設の電線ばかりを気にしていたのですが、排水管が埋まっている可能性くらい事前にわかりそうなものです。すっかり業者さんに迷惑をかけてしまいましたが、別な場所を選定させてもらい、作業再開。

で、数十センチとはいえ開けてしまった穴はどうしたかといえば、土を綺麗に埋め戻したあと、その上に「元の芝生」をかぶせ、プラスチックのホウキでささっと履くと「あら不思議!」どこに穴があったのかさえパッと見は気がつかないような完璧な復元です。本物のプロというのは、穴を掘る段階で様々な可能性やリスクを想定し、万が一、切り戻しになった場合も対処が可能ということです。たいへん勉強になりました。
ちなみに、電柱は手彫りで掘られた穴にスポッと差し込まれ、ものの1時間足らずで自立してしまいました。聞くと、電柱というのは長さの六分の一程度の穴があれば、自立するそうです。こちらも勉強になりました。

埋め戻し
どこに穴があったのか全くわかりません

(投稿者:ちゅん)

カテゴリー: つぶやき | コメントする