HCIのNutanix かなり良さげ(3)

←連載(1, 2

マルチ仮想化ソフト、マルチハードウエアベンダー、マルチクラウド


連載1では仮想化システムを構成するには、サーバ・ネットワーク・ストレージという各ブロックの3層で作る3Tier型が一般的であることを話しました。連載2では、3Tier型仮想化システムを構成した場合、私の勤務先ではサーバラック1棟まるまる収納する状況だった(36Unit)ものが、わずか1/4ラック以下に収納(6Unit程度)できるようになることを話しました。また、nutanix(ニュータニックス)は、ソフトウエア製品のため、Lenovo、DELL、HPEとかのハードウエアにも、一部制約がありつつも利用できることを話しました。

nutanixはnutanixの独自の仮想化技術(ハイパーバイザー)であるAHV(Acropolis Hypervisor)以外にも、VMwareのESXiや、MicrosoftのHyper-Vも利用できる特徴があります。そのため、ESXiを利用し続けたければ利用してよし、Hyper-Vを利用したければHyper-Vを利用してよし、という選択肢が自由な製品であることも魅力の1つではないか、と考えられます。

仮想化システムは一般的に複数のサーバで冗長化構成(HA:High Availability)を採用すると思います。一般的に2台以上、サーバの負荷を想定すれば、3台以上が理想です。例えば、1台の稼働サーバが壊れ、そこの上で稼働していた仮想マシンは、別の稼働サーバに仮想マシンが自動的に移動してくれる機能がハイパーバイザーには備わっています。例えばESXiの場合は、vMotionで対応します。一方Hyper-Vもそれに似た機能が搭載しているものだと思われますが、私の記憶にはありません。Hyper-Vはレプリケーション(複製同期)の機能を利用して、時間差でマイグレーション(移動)するものと考えられます。この、Hyper-Vのマイグレで、色々と障害話をよく耳にします。

Hyper-Vのマイグレ失敗でよく耳にするのが、レプリカ時に、レプリカ元とレプリカ先の各サーバでスペック違いがあったり、レプリカ先のリソース不足で機能しなかったり、Windows updateで失敗するケース、色々とあるため、なかなか運用が難しそうな気がしています。リソース不足でNGとならないよう、2台構成での冗長化の場合は、全体的に4割程度のリソース消費量で対応しなくてはなりません。4割以下となると、コストパフォーマンスが得られません。そのため、3台冗長構成で6割程度のリソース消費量で対応する方法が一般的ではないでしょうか。

nutanixでは最低ノード(冗長構成)は3台からとなっています。例えば、3台構成で作った場合、HCIでなければ、配線や構成等で複雑な設計が必要になりますが、ここらへんがパッケージ化されているため、導入しやすさがあります。一方で、例えばディスクストレージが足りない場合、作り込みであれば、ストレージを追加すれば良いのですが、HCIの場合は、もう1ノード追加するか、高価なストレージ・エンクロージャーを追加するか、によって、構成が変わってきます。ノード追加の場合、Windowsライセンスが更にかかってくる等、不便な点も出てきます。

したがいまして、HCIは導入しやすくなったが、逆に、OSやミドルウエア部分のライセンスが高くなってしまうという問題が発生します。何故、高くなるのか?1ノード追加の場合、他のノードと同一仕様にする必要があります。例えば、2CPU・16コアとかにしていれば、32コア分のライセンスが必要になります。更に、HT(Hyper Threading)にしていれば、さらに2倍(64コア)のライセンスが必要になるのもあります。いずれにせよ、増設する際は、高価になるため、導入時に、ある程度のスペックを積んだ計画が必要だと考えられます。

しかし、nutanixの場合は、仮想化ソフト(VMware、Hyper-V等)の選択は自由です。そして、多くのメーカーのハードウエア(HPE、DELL、Lenovo等)にも乗せられます。更に、今後はクラウドとの連携も強めて行く必要があります。このクラウド連携(AWS、Azure)においても、nutanixは対応してきています。

つまり、nutanixを選択しておけば、自由度が広がり、将来性に安心できるソフトウエアメーカーではないだろうか、と考えられます。

HCIのNutanix かなり良さげ(2)

Nutanix 連載(1)

HCIでコンパクトさを実現


Nutanix(ニュータニックス)は、Google File SystemやOracle Exadataの開発メンバーらによって2009年に設立された企業であり、HCI(HyperConverged Infrastructure)分野で長年リーダーとして格付けられているメーカーです。

連載(1)において、勤務先の仮想化サーバを作り込みのシステム(VMware vSphere)からnutanix(AHV)への切り替えを実施したことを、簡単に触れました。そして、仮想化システムには一般的に3Tire型(サーバー・ネットワーク・ストレージ)で構成されていることを話しました。

nutanixに切り替える前、仮想マシンを稼働させる3台(3ノード)のサーバ、ディスクの冗長性や本番用・開発用/テスト用のディスクを施したストレージ7台、このサーバとストレージを高速に通信を実現させる光ファイバーチャネルで構成した冗長構成のSANネットワーク。そして、仮想化システム=VMware vSphereを管理するための管理サーバという構成を利用していました。3台のサーバで6U、7台のストレージで14U、2台のネットワークで2Uを消費。これらの電源を安心に保護するためのUPS(高性能無停電電源装置)が、管理サーバ向けに1500VAクラスで2U、サーバー用に5000VAクラスで4U、ストレージ用の200V電源で5000VAクラスで4U、ネットワーク装置に対しては1500VAクラスで2U程を利用した。このU(Unit)数を計算すると、システムだけで22U、システム12U、合計36Unit必要となる。サーバラックの一般的な大きさは37〜42Unitのため、サーバラック1棟丸ごと消費してしまうのが作り込みの3Tire型仮想化システムなのである。

それが、nutanixに変更するだけで、22Uがわずか2Uに削減。UPSも1台(4U程)に削減に成功した。更に、わずか2Uに最大4ノード搭載できるため、確実に移行前よりもハイスペック構成となっている。但し、勤務先の旧仮想化システムでは2CPUで構成した3ノードの仮想化システムであったため、2Uのnutanixでコストパフォーマンスが得られたわけで、各ノードのサーバが4CPUとかで構成していれば、2Uで収まりきらないという考え方にもつながります。したがいまして、構築した環境によって、十分な製品選びが必要になります。

nutanixの型番の読み方を理解することで、どのような仕様なのかある程度把握できます。
(参考)NutanixのBOMアレコレ(ねっとわーるどラボ)

2019年1月現在、NX-6000シリーズ以外はG6(Skylake)モデルが出ています。勤務先のはNX-1000シリーズのG5です。これは、8TBのディスクがG6では乗せられない(6TBまで)ために、G5を選定した背景があります。そのため、新しければスペックは向上する、とは限らないことを意味します。また、搭載できるメモリがひとクラス向上し、コスト的に高くなる場合もある、ということです。

nutanixはサーバ会社ではなく、ソフトウエアの会社です。例えば、日商エレクトロニクスでは、標準機のNXの他に、DELL / Lenovo の取り扱いがあります。

ネットワールドでは、HPEでの取り扱いもあります。

そのため、使い慣れたメーカーのハードウエアをチョイスして、nutanixのソフトウエアを利用することができる点でも、大きなメリットがありますし、例えば、会社的にHPE製品で揃えたい場合、外見的に揃えるということもできるので、会社にあった製品選定ができるのではないか、と想定されます。
なお、HPEには、SimpliVity(シンプリビティ)というHCIがあります。2017年に買収した会社のため、自社開発の製品ではありません。リリース当初では、傾きかかった会社をよく買収したな、という雰囲気でしたが、HPEブランド力によって、持ちこたえ、導入事例をじわりじわり伸ばしてきています。

勤務先での採用にあたっては、出たばっかりの国内導入事例が無い中で、先立って新システムを導入するよりは、老舗な技術が浸透している製品が無難だろう、という判断でnutanixを入れました。nutanix製品選定時、富士通であればFujitsu PrimeFlexが出たり、NECであればNEC Hyper Converged Systemが出たりした。ただ、NECもFujitsuもvSANなので、VMwareのSDS(Software Defined Storage)。VMwareは流石に強いなぁ、というイメージでした。

HCIのNutanix かなり良さげ(1)

仮想化システムは3Tier型

仮想的なサーバを構成するために、仮想マシンを稼働させるためにCPUやメモリを大量に搭載した「サーバ」、データを保存する「ストレージ」、この「サーバ」と「ストレージ」を接続させるための「ネットワーク」(SAN:Storage Area Network)の3層から成る構成を3Tier型仮想化システムと呼ばれています。

数年前までは、これらの「サーバ」「ネットワーク」「ストレージ」を個々毎に用意したシステム構成が一般的でした。勤務先では、富士通製のシステムを利用していた。ストレージはETERNUS、ネットワークにはファイバチャンネル(Fc)でSANで、サーバはPrimergyという構成を利用して、VMware(ESXi)の仮想システムを利用していました。このシステムの場合、SAN部分が障害を起きればシステムが止まるため、冗長化(二重化)の構成が必要となります。Fcは比較的高価ということもあり、簡単に増設ができないのもネックで、きっちりと将来設計をしたシステムを検討せざるを得ません。

システム増設には、ちょっとしたシステムの再構築を含めた大掛かりな作業がつきもので、作り込みの仮想化システムは、もうこりごりという懸念がありました。そこで、5年間に近づく頃に、作り込みのシステムから、出来上がり品(パッケージ版)のシステムに目を向けました。それが、ここ最近、多くのメーカーで開発が進んでいた、HCI(Hyper-Converged Infrastructure)です。

米国調査会社ガートナー社によるHCIの格付け情報では、Nutanix(ニュータニックス)が相変わらずリーダーとなっています。
(参考)Nutanix、ガートナー社による2018年11月版「ハイパー コンバージドインフラストラクチャーのマジック・クアドラント」で再び「リーダー」に(nutanix)

一方で、Ciscoの伸びに興味が注がれます。
リーダー役であるnutanixを採用していれば、間違いないという考え方で選んだのも1つ。その他、各社HCIを調査した結果、nutanixになったということにもなります。

しばらく、このHCIについて連載を続けていきましょう。

Zero Font Attackを内閣サイバーセキュリティセンター(NISC)がOffice365ユーザーに対して注意喚起

内閣サイバーセキュリティセンター(NISC)は、Microsoft Office 365において、フォントサイズを0に設定した無意味な文字列を埋め込み、フィルタリング対象外の文字列に見せかけてすり抜けを試みて、フィッシングメール検知回避を企図した攻撃手法「Zero Font」を確認し、twitterで注意を促しました。

ZeroFont Phishing: Manipulating Font Size to Get Past Office 365 Security(AVANAN、2018.06.13)によると、次の画像のように、一見怪しくない文字列に見せかけており、実は、文字(フォント)を0サイズにし、フィッシングメール(迷惑メール)検知システムから回避できるような仕掛けになっているという。

送信元のメールがパッと見、不審さが見当たらない場合、思わずメール本文中のURLリンクを押しやすい(ひっかかりやすい)というところを狙っているんだろうけれど。

ただ逆に、HTMLメールでの受信を拒否しTEXTメールのみにしている場合には、確実に怪しいメールと区別できそうな気がする。

でもね、この攻撃は、Office365メールに限らないと考えることができ、なぜ、NISCは「office365を利用している方へ」という具体的に名指ししたのがひっかかる。今回のZero Font 攻撃は、Office365に限らず、メールを利用しているヒトが該当し、さらに、フィッシングメール対策をしていないメールサーバを利用していれば、なおさら、受信メールに届いてしまう。

攻撃者(犯罪者)は、メール受信者がOffice365かどうかは知らない状態でメールを送りつけるため、Office365ユーザーではないヒトは、このツイートをスキップする恐れがある。

Office365のメールセキュリティにおいては、日本語スパムには弱いということもあり、安全なメールだけが届くことは無い、不審なメールも多少ながら届く環境(日本)においては、Zero Font 攻撃は、一種のスパムメールとして、また届いた、という面白がる考え以外無いのかもしれない。

 

スパムメールとして疑うには、(1)差し出しメールアドレス、ドメインを疑え(2)不自然なスペースやピリオドやハイフンの使い方(3)頑張って日本語を使ったという、日本独自の言い回し(4)表示されているURLリンクと、実際に飛ぶURLリンクが異なって入れば疑え、等・・・いろいろ疑う方法はある。

添付ファイルについては、VirusTotalでスキャンする方法もありますが、Kaspersky VirusDeskもおすすめ。

 

いずれにせよ、いくら対策が施されたメールシステムであっても、怪しい文面等なら、送信元をまず疑え!が必要と考えられる。

CPUの脆弱性(メルトダウン、スペクター)について

便乗したマルウエアが登場しています。注意しましょう★

CPUを高速化する手法の一つである『投機的実行(speculative execution)』とは、空いているリソースを活用して条件分岐の先をあらかじめ実行することで、最近のCPUにはごく当たり前に実装されております。

Graz University of Technology(グラーツ工科大学)によるCPU脆弱性に関する解説により、サイドチャネル攻撃(物理的観察によりデータを盗み出す手法)により本来アクセスできないはずのデータを取得できてしまうという脆弱性(欠陥)が報告されたことを受け、攻撃が近々行われるのではないか、と予測されます。

今回の脆弱性は、悪意あるプログラムが攻撃対象のサーバ上で実行された場合に、従来保護されていたメモリに格納されているデータが参照可能となるものです。このデータに関してはは、改ざんされる可能性は無いと共に、攻撃者がインターネット等からリモートアクセスをするだけでは、メモリデータを参照することはできないと言われており、一定の条件が成立しなければ、脅威とはなりません。一定の条件(例えば、攻撃コード等)が成立することで、パスワードや暗号鍵など、基本的には感染した PC が処理しているすべての情報が窃取される可能性があります。

また、同一ホスト上の他の仮想マシンのデータへアクセスできる可能性があるため、仮想化環境や、仮想技術に依存するクラウド環境(Amazon EC2やMicrosoft Azure、Google Compute Engine等にも影響があり対応中とのこと)では特に脅威となりえます。

今回の脆弱性は、次の通りです。

●Meltdown:メルトダウン(CVE-2017-5754
●Spectre:スペクター(CVE-2017-5753CVE-2017-5715

「Meltdown」の影響範囲は1995年以降のIntel製CPUとされておりますが、Intel製以外のCPUに影響する可能性も否定できません。また、「Spectre」はIntel/AMD/ARM製CPUで実装されており、Windowsだけでなく、Android、Chrome、iOS、macOS 等を含む多くのシステムに影響が及ぶと言われています。

本脆弱性を根本的に解決するためにはハードウェアの交換が必要となりますが、各ソフトウエアベンダーが提供している修正プログラムの適用により攻撃のリスクを低減は行えます。

Athlon搭載PCを利用しているAMDユーザーでは注意が必要のようです。CPU脆弱性への修正含むWindowsアップデートで不具合が発生している模様です。なお、当記事執筆時点では、AMDユーザー向けにはWindows updateは配信されない模様です。詳細はZDNet(2018/1/9)の記事を参考下さい。

▼ Microsoft

Microsoftの更新プログラムは一部のウイルス対策ソフトと互換性がないと言われており、注意が必要です。適用後、最悪の場合、ブルースクリーン(BSoD)エラーが発生し、Windowsが起動できなくなる恐れがあります。当blogで推奨しているF-SecureKasperskyは既に対応しています。その他のウイルス駆除ソフトの状況は次のURLを参考下さい。
https://docs.google.com/spreadsheets/d/184wcDt9I9TUNFFbsAVLpzAtckQxYiuirADzf3cL42FQ/htmlview

マイクロソフトの修正プログラムは、Microsoft Update カタログからも取得できますが、2018年1月の定例Windows updateで適用されます。このWindows updateにおいても注意が必要であり、セキュリティホールmemo(2018.1.10)に詳しくまとめられているので参考下さい。

▼ Apple

iOS 11.2.2、macOS High Sierra 10.13.2 Supplemental Updateで対応済みとなります。

▼ 参考資料

 

Synology HDD交換

ん?自宅NASことSynology(シノロジー)に異常発生。なんどかS.M.A.R.T(スマート情報)を実行しても2日間まわしても途中から先に進まなかった。明らかにディスクの故障もしくはディスクの異常だ。

このブログでは、Synologyのディスク交換についての記事となります。

アラート

犯人はここ最近の急激な寒さによる暖房等による自宅停電の繰り返しが原因かと思っている。

そんな中、RAID1で構成しているHDD(ハードディスク)の1基が異常を発生した。利用しているHDDはWDのNAS用ディスク、REDモデル。3年保証だ。このモデルでは10TB(4.6万円)も出ているようだが、3TBで1万円ちょいという、比較的お買い得ディスクかな?と思っている。

WD HDD

まず、3年以内のため、WD(ウエスタンデジタル)で修理依頼を実施。メールで何回かやりとりしたら、交換という迅速な回答が来た。素晴らしい会社だ。送料負担で送るだけとなった。とはいっても、RAID1が無い状態で利用するのは不安なため、Amazonで改めて購入したわけですが。

HDD交換後、Synologyからアラート音がやまず、取り付け失敗かと思いきや、単純に標準仕様。コントロールパネルから音を消す必要があるようだ。ハードウエアと電源から、ピープ音をオフボタンがあるので、それをクリックしなければ、消えないのだ。やや不便だ。

2018-01-08 17.29.34

ディスクを取り付けたばかりなので、非初期化となっている。

2018-01-08 17.30.34

管理ボタンをクリックします。

2018-01-08 17.35.30

RAID1の修復を行うため、デフォルトで次へをクリックします。

2018-01-08 17.35.38

再構成をするディスクが選択されます。そのまま次へをクリックします。

2018-01-08 17.36.31

交換したディスクには、そもそもデータが入っていませんので、OKをクリックします。

2018-01-08 17.36.38

適用をクリックします。

2018-01-08 17.36.49

再構成中・・・

2018-01-08 17.37.12

6時間程経過で、8割程修復完了した模様だ。3TBだからこれぐらいで済むんでしょうか。

スクリーンショット 2018-01-08 23.20.46.png

 

(参考)
ボリュームまたはディスクグループの修復(Synologyナレッジ)

Box.netのUIが変わった

オンラインストレージBoxのUIは、2017年9月頃に、なめらかなフラットデザインに変わった。けれど、右クリック機能は有効ではなかった。なお、Businessプランでの説明となる。

box2018a

box2018b

右上の新規作成ボタンからは、GoogleだけでなくMicrosoft Office(Word, Excel, PowerPoint)にも対応となった模様。

 

 

 

 

Office365との連携も、管理画面から行えるようになった模様だ。

box2018c

しかし、Office365ライセンス数にオチがあった。500以上!
500以上もOffice365ライセンスを購入している企業って、よっぽどIT投資に余力のある会社以外考えにくい。

box2018d

 

boxのモバイルセキュリティとしては、ファイルの印刷制限やデバイスへの保存制限も行える模様だ。DLP(Data Loss Prevention:情報漏洩対策)を特に取り組んでいる企業で、クラウドサービスを利用したいが、ファイルが持ち出されては困るよな、といった時にも有効なセキュリティ機能だ。

box2018e

boxは、Business / Enterpriseプランでは容量無制限ということもあり、オンプレ(社内設置型)をやめても十分活用できると思える。

とはいっても、Office365 E3以上で5ID以上購入していれば、ディスク容量は無制限。オンラインストレージは、OneDriveか?boxか?という二極化が進んでいくかもしれない?いや、boxはまだまだ知名度が低いって? boxよりもDropboxなのかなぁ?いやいや、Google Driveなのかな?

Office365 OneDriveで、ファイルの持ち出し制御等のこれらの制御を行うためには、Rights Management Services(RMS)を利用する必要がある等、何かとライセンスと設計が必要になる。

そう考えると、Boxは直感的に操作ができ、セキュリティも簡単に行えるため、やはり便利かもしれない。但し、Businessプランで月額1,800円は、やはり高額だ。(勤務先でも、この高額維持が困難なため、次回の更新手続きは満了を予定している。)

KEY REINSTALLATION ATTACKS: BREAKING THE WPA2 PROTOCOL

WPA2(Wi-Fi通信を暗号化する現地点で最高のセキュリティ技術)に脆弱性が発見され、多数のWi-Fi機器が影響する恐れ!ということで、私の勤務先でも、やや話題となった。

WPA2セキュリティプロトコルにキー管理に関するいくつかの脆弱性があり、キーの再インストールを利用して攻撃できるという、プロトコルレベルの問題であるが、「ハッキングツール(Exploit)が公開された」ということではない。Exploit(エクスプロイト)が公開されるのも、時間の問題だろう、と思われる。

そういえば、「Bluetoothの脆弱性『BlueBorne』で「乗っ取られ」の可能性(2017.09.19)」というネタがあった。数十億のBluetoothデバイスに影響を受けるということだったが、特にこの話題は消え失せた。そのうち被害は出てくるんだろうけれど。

このような感じで、「WPA2」「ハッキング」「乗っ取られる恐れ」とかといったキーワードが、一人歩きしているような気もする。

まずは、この脆弱性は、無線ルーターやWi-Fiルーター、Wi-Fiデバイス、全てにおいて対象であり、脆弱性を防ぐセキュリティパッチが配布されるだろうと思われる。

<Blackhat 2017 Europe> KEY REINSTALLATION ATTACKS: BREAKING THE WPA2 PROTOCOL SESSION
WPA2の脆弱性「KRACKs」公開、多数のWi-Fi機器に影響の恐れ(ZDNet、2017.10.16)
Wi-Fiを暗号化するWPA2に脆弱性発見 ~対応のあらゆる機器が影響(PCWatch、2017.10.16)
WPA2の脆弱性「パッチで対応可能」 Wi-Fi標準化団体が見解(ITmedia、2017.10.16)

ITmedia記事では、パッチで対応可能という。

従って、Wi-FiルーターやWi-Fiデバイスのアップデートが配信されたら、適用しなければならない。特に、Wi-Fiモバイルルーターとか、アップデートし忘れがちなので、注意が必要だ。そして、Android端末はキャリアに依存となるため、Bluetoothのように、アップデートプログラムが配布されない可能性がある。アップデートができない端末があれば、それは、なおさら、深刻だ。

JVNから詳細情報が公開された。
Wi-Fi Protected Access II (WPA2) ハンドシェイクにおいて Nonce およびセッション鍵が再利用される問題(JVNVU#90609033、2017.10.17)

まずは、慌ててもしょうがない。「アップデート情報を待つ」しかない。

Office365 BusinessとEnterpriseの違いを確認してみた

Office365にも色々なプランが出てきて、2011年から利用してきた私でも追いつけていけていないことから、最大300ユーザまで利用できる「Office 365 Business Premium」と、最大ユーザ無制限の「Office 365 Enterprise E3」について違いを比較してみる。
詳細な比較は、こちらを参考ください。

大雑把な比較をすると、Business Premiumは¥1,360円に対し、Enterprise E3は¥2,180円となり¥820円/月も大きな開きがある。ただ、この開きは、例えば、メール容量がBusinessは50GBに対し、E3は100GB。OneDriveはBusinessが1TBに対し、E3は5TB。さらに、E3は5ユーザー以上購入していれば、無制限容量となる、という違いがある。

OneDriveの無制限容量が気になるのであれば、例えばbox.netという選択肢もある。ただBox.net Businessだと3ユーザー以上の購入が必要で、1ユーザー当たり¥1,800円/月となるため、OneDriveの無制限容量は憧れかもしれない。

ディスク容量の違いだけでなく、「セキュリティ」という観点からは、E3には魅力の機能がある。証跡管理、電子情報開示機能、インプレース管理だ。この機能が無いプランのため、EOA(Exchange Online Archiving)オプションとして、¥330円/月が用意されている。

メール容量、OneDriveディスク容量、電子情報開示機能を足しても、やはり、Businessの方が全然安い「気」がする。

機能面で、果たしてどうか?並べながら見ていきたい。

Business Premium Enterprise E3
①管理メニュー画面:
「同じ。」
②ライセンスの割り当て種類:
Bunsinessの場合のみBookingがあるかわりに、E3はStream、StaffHub、Azure Rights Management、
Exchange、SharePointがBusinessはプラン1で、E3はプラン2。
どちらもSkype for Businessプラン2。Office365はbusinessはbusiness、E3はPro Plusの違いがある。
プラン比較では、さほど変わらないようだったが、意外に違うもんです。¥820円の差で、これだけ違う。
③Exchange(メール)管理画面:(参)E5はこちら
BusinessとE3のメニューの違いは「データ損失防止」機能がE3にあるのみ。それ以外は同じようにみえる。
E3とE5の違いは、高度の脅威(安全な添付ファイル・安全なリンク)メールフロー(URLのトレース)がE5にある。
④データ損失防止機能(E3/E5のみ)
データ損失防止機能はDLP(Data Loss Prevention)機能で、Exchange Online、SharePoint Online、OneDrive for Business、デスクトップ バージョンの Excel 2016、PowerPoint 2016、Word 2016 など、複数の保存場所にわたって機密情報を特定し保護します。  

思った以上に、Business Premiumは使いかってが良いのかもしれない。
ただし、アーカイブの無期限保存は管理者にとっては、ディスク容量気にせず、システム任せにできるため、EOAライセンスは入れておきたいところ。

となると、Business Premium(¥1,360)+EOA(¥330)=¥1,690円。E3は¥2,180円、差額は¥490円。

この490円に対し、DLPもできるのならば、E3の方が安いかもなぁ?とも思えてしまう。

 

以前は、Office365 Enterprise以外の製品は、管理機能について、スパム対策等の独自ルールの制御は、サポート頼りだったものが、利用者自身で、細かいルールによるポリシー制御が可能になっているため、非常に良い製品になった模様。

OneDriveの容量が1TBや5TB、無制限、とまぁ、色々あるわけですが、SharePointの容量は、OneDriveとは違うので注意が必要。初期設定は1TBが割り当てられるようになっていた(2016年)。その他、契約人数×0.5GBが割り当てられる。つまり、100ユーザーいれば、1TB+50GBとなる。

 

こうみると、Business Premium + EOAは、魅力もあるなぁ、といったところかもしれない。

Office365の許可/拒否リストを取得する。

「Office365で迷惑メールフォルダに移動されるんだけど」という連絡をよく受ける。その時、多くは許可/拒否画面にて、受信拒否リストに登録されているのを見落とされて入れうケースが高い。利用者を信用しないわけではないが、PowerShellで確認できる。

なお、オンプレミスのExchange Server 2013のみが対象ではあるものの、Office365(2017年度版)でも、問題なく出力できた。

(参考) スパム対策およびマルウェア対策関連コマンドレット(Microsoft)

■ 特定のユーザーの [信頼できる差出人と宛先のリスト] および [受信拒否リスト] の登録を確認する方法
<構文>
Get-MailboxJunkEmailConfiguration “特定ユーザーのメールアドレス” | Select Identity,TrustedSendersAndDomains,BlockedSendersAndDomains | Export-Csv -Encoding UTF8 -Path “ファイルパス\ファイル名.csv” -NoTypeInformation

<実行例>

Get-MailboxJunkEmailConfiguration user1@contoso.com<mailto:user1@contoso.com> | Select Identity,TrustedSendersAndDomains,BlockedSendersAndDomains | Export-Csv -Encoding UTF8 -Path "C:\Temp\User1JunkEmailConfiguration.csv" -NoTypeInformation

※ 実行例では user1@contoso.com<mailto:user1@contoso.com> の [信頼できる差出人と宛先のリスト] および [受信拒否リスト] の登録を確認しております。

■ 全ユーザーの [受信拒否リスト] の登録設定を CSV ファイルに出力する方法

<構文>
Get-Mailbox -ResultSize Ulimited | Get-MailboxJunkEmailConfiguration | Select Identity,TrustedSendersAndDomains,BlockedSendersAndDomains | Export-Csv -Encoding UTF8 -Path “ファイルパスファイル名.csv” -NoTypeInformation

<実行例>

Get-Mailbox -ResultSize Ulimited | Get-MailboxJunkEmailConfiguration | Select Identity,TrustedSendersAndDomains,BlockedSendersAndDomains | Export-Csv -Encoding UTF8 -Path "C:\Temp\AllUserJunkMailConfigration.csv" -NoTypeInformation

※ 上記例では Office 365 に登録されているユーザーの [受信拒否リスト] の設定を、[C:\temp] に [BlockedSendersAndDomains] という名前の CSV ファイルにて出力しております。

Office365のレポート機能にPowerBIがサンプルで提供された模様

Office365管理者に待望の機能が追加された。これまでは、どんなフィルタでされているか、非公開的なレポート機能が提供されていたが、Power BI Proのライセンスが必要だが、Power BI上で、分析ができるようなプレビュー版が公開された。

会社のOffice365でみようとしたら、私のアカウントはE3なので見れなかったので、やむなく、私物のOffice365をE3からE5にあげて確認してみた。私物はIP電話はしないので、かなり費用面で痛いのだが、やむ得ない。

なんか、仕事ができている気がする(笑)

私物のOffice365では、E1が3ユーザ、E3が1ユーザの4ユーザ構成。
データが少ないのでつまらないでしょうが。。。

例えば、この仕様比率の円グラフ。

これをクリックすると、ドリルダウンしてくれる。

このフィルター情報は、任意で変更が可能だ。

実際、Power BIの使い方、どんな効果があるか、分からなかったのが事実。Office365の分析が、こうできますよ、という可視化してくれるため、ちょっと使い道が変わってきそうだ。

Power BIは10GB/1ユーザなので、やや上限しばりはあるものの、大元はテキストデータなため、問題ないのかもしれない。

ちょっと楽しみだ。

Nutanix.NEXT on tour in Tokyo 2017 に行ってきた。

Nutanixのセミナーに行ってきた。収穫はいくつか。

社内設置型(オンプレミス)の場合は、「停電」ありき。停電対策として、シュナイダーエレクトリック(旧APC)が展示していたので話を聞いてきた。nutanixサーバに対しての、一般的な「停止/再起動」はできることを確認した。これは、いつもの、PowerChute Network Shutdownでの方法だった。従って、各仮想マシンの停止は、任意で停止時間を計算をする必要があることを確認した。この、仮想マシンの停止は計算通りに停止してくれないから困っているのに、そこは、人為的に対応せざるを得ないというのがメーカー側の回答だった。

となれば、サンケン電気のUPS次第となる。メーカーに確認すると、Nutanixには対応していないという回答はある。だが、vSphere CLIを通じてシャットダウンが可能となっているため、VMware ESXiを基盤として利用すれば、ひょっとしたらUPSから仮想マシンを見えてくるのではないか?と勝手に思っている。これは、検証機を借りながら検証していきたいと考えている。

カタログとして、UPSソリューションズちらしが入っていた。

次にバックアップについて確認してみた。Nutanixでは標準ではスナップショットと他のノードへのレプリケーションしか持っていないとのことだ。例えば、テープへのバックアップやクラウドへのバックアップ等は別の製品が必要で、例えばCOMMVAULT(コンバルト)を利用する必要があるようだ。COMMVAULTを利用することで、別々のサーバで行なっているバックアップを統合できるとのことだ。日商エレクトロニクス記事に詳しく記載あり。

北陸銀行の導入事例基調講演では、nutanixを利用したことで、ハードウエア調達期間やハードウエアの設計・構築・試験を大幅に圧縮できたという報告があった。ネットワークの環境も、基幹系とインターネットができる情報系が2分してあったが、HCIのおかげで、短期間・安価で統合できたという事例だった。しかも、停止しないという評価もあった。

 

勤務先のESXiサーバも、ちょうど1年後更新を迎えるため、nutanixをはじめとしたHCIの情報収集を続けながら、低価格でよりよいもの、を探して行きたい。

新クラウドサービス Microsoft 365 登場!

Office365、Microsoft EMS、Windows10が統合された新クラウドサービス、「Microsoft 365」が登場!300人以上向けのEnterprise版は2017年8月1日に販売、300人以下向けのBusinessは今秋発売予定となっている。マイクロソフト史上最高のインテリジェントソリューションとなっている。

Office 365、Windows 10 Enterprise、Enterprise Mobility + Security を統合し、誰もが安全な環境で創造性を発揮しながらチームワークを高め、あらゆる人々が活躍する働き方を実現できるサービスがリリースされた。

ここでは、1人以上で購入できるMicrosoft 365 Enterprise版について注目してみる。

(参考)Microsoft 365とは(マイクロソフト)

種類 Microsoft 365 E5 Microsoft 365 E3
Office365 Office365 E5
・Office 365 E3
・Skype for Business Online Cloud PBX
・Microsoft Power BI Pro
・その他のサービス
Office365 E3
RMS Enterprise Mobility + Security E5
・Enterprise Mobility + Security E3
・Microsoft Cloud App Security
・Azure Active Directory Premium P2
・Azure Information Protection P2
Enterprise Mobility + Security E3
Windows10 Windows 10 Enterprise E5
・Windows 10 Enterprise E3
・Windows Defender Advanced Threat Protection
Windows 10 Enterprise E3

次に、Office365での比較を簡単に注目してみよう。

種類 Office365 E5 Office365 E3 Office365 E1
Officeアプリケーション ×
Power BI Pro × ×
OneDrive容量 無制限 無制限 1TB
Skype for Business Plan2 Plan2 Plan2
Exchange Online Plan2 Plan2 Plan1
SharePoint Online Plan2 Plan2 Plan1
Advanced Threat Protection × ×

 

Office365 Pro Plusが入っている、E3・E5によって、Microsoft 365にもE3・E5が分かれるという。Office365 E3・E5の大きな違いは、Cloud PBX有無しのほかに、PowerBIの無償版(E3)か有償版(E5)か、メール(Exchange online)のセキュリティ機能(リンク先や添付ファイルをサンドボックスで精査するAdvanced Threat Protection)があるかないか、機能を単価で積み重ねていけば、全然E5の方が安価でかつ高セキュリティという点に違いがある。

Office365以外は同じ機能となる。Windows10 Enterpriseが利用できる。ProとEnterpriseとの違いは、Enterpriseを利用するには、Proのライセンスが必要であり、Proをアップグレードを経てEnterpriseとなる。したがって、Proに無い機能が利用できる。例えば、グループポリシー(GPO)によるスタート画面の制御やAppLocer、Windows To Goなどが追加されており、Windows10 Proを企業向けに機能補強したものとなる。

また、Microsoft EMS(Enterprise Mobility + Security)も搭載される。EMSで多層防御によるセキュリティ対策となり、これ以上、セキュリティ対策は何をすればいいのかという、最高の対策が得られる。

これらはクラウドで提供されるため、システムのリプレイスや、システムの運用管理が不要となるため、長く利用すればするほど、費用効果が得られるかもしれない。

 

Microsoft 365については、さらなる情報収集できたら投稿していきたい。

[ファイル名を指定して実行]のコマンド一覧表

[ファイル名を指定して実行]のコマンド一覧表で、Windows10で動作が確認できた一覧

2017.08.13 Update

[Windowsロゴキー]+[Rキー]もしくは、[Controlキー]+[Rキー]で、ファイル名を指定して実行ウインドウが表示されます。OSのアップデートによってGUI(画面)が変わるけれども、次のコマンドはあまり変わらないので、覚えておいて損があまりありません。参考ください。

コントロール パネル ファイル(.cpl)は、Windows\System フォルダの .cpl ファイルが使用されます。.cpl ファイルは、コントロール パネルを起動すると、自動的にロードされます。コントロール パネル ファイルは、Control.ini ファイルの [MMCPL] セクションのエントリを使用してロードされることもあります。(→Microsoft、2004.12.27)

スナップイン(.msc)は、Windows管理ツールの1つで、ネットワーク、コンピューター、サービス、およびその他のシステム コンポーネントを管理ができます。その集合体として、Microsoft管理コンソール(MMC:Microsoft Management Console)が生成されています。

起動するアプリケーション コマンド
アドレス帳 wab
アドレス帳インポートツール wabmig
イベントビューア eventvwr
インターネットインフォメーションサービス(IIS)マネージャー inetmgr
インターネットオプション inetcpl.cpl
エクスプローラ explorer
外字エディタ eudcedit
拡大鏡 magnify
画面のプロパティ control desktop
画面の解像度 desk.cpl
管理ツール control admintools
共有フォルダ fsmgmt.msc
共有フォルダの作成 shrpubw
グループポリシー gpedit.msc
ゲームコントローラ joy.cpl
コマンドプロンプト cmd
コンソール mmc
コントロールパネル control
コンピュータの管理 compmgmt.msc
コンポーネントサービス dcomcnfg
サウンドとオーディオ デバイスのプロパティ mmsys.cpl
サービス services.msc
システム情報 msinfo32
システム構成ユーティリティー msconfig
システムのプロパティ sysdm.cpl
システムの再起動 shutdown /r /t 0 /f
システムの終了 shutdown /s /t 0 /f
証明書 certmgr.msc
スクリーンキーボード osk
スクリーンのキャプチャー(snipping) snippingtool
ステップ記録ツール(画面コピーの自動記録) psr
セキュリティとメンテナンス wscui.cpl
ダイヤラ dialer
タスクスケジューラ control schedtasks
タスクマネージャ taskmgr
地域と言語のオプション intl.cpl
チェックディスク chkdsk
ディスク クリーンアップ cleanmgr
ディスク デフラグツール defrag
デバイスとプリンタ control printers
ディスクの管理 diskmgmt.msc
デバイスマネージャ devmgmt.msc
電源オプションのプロパティ powercfg.cpl
電卓 calc
電話帳 rasphone
電話とモデムのオプション telephon.cpl
同期センター mobsync
ドライバーの検証ツールマネージャー verifier
ナレータ narrator
ネットワーク接続 control netconnections
ネットワーク接続 ncpa.cpl
ネットワーク接続の有効状態を表示 netstat
デバイスマネージャー hdwwiz.cpl
バックアップと復元(Windows7) sdclt
パフォーマンスモニター perfmon
日付と時刻のプロパティ timedate.cpl
ファイアウォール firewall.cpl
ファイルと設定の転送ウィザード migwiz
ファイル署名の確認 sigverif
フォルダーオプション control folders
フォント control fonts
プリンタとFAX control printers
プログラムのアンインストールまたは変更 appwiz.cpl
ペイント mspaint
ペイント pbrush
ポリシーの結果セット rsop.msc
ボリュームコントロール sndvol
マウスのプロパティ main.cpl
マウスのプロパティ control mouse
メモ帳 notepad
文字コード表 charmap
ユーザーアカウント control nusrmgr.cpl
ユーザーアカウント制御(UAC) UserAccountControlSettings
ユーザー補助のオプション control access.cpl
ユーザー名およびパスワードの保存 credwiz
コンピュータの簡単操作マネージャー utilman
リモートデスクトップ接続 mstsc
レジストリ エディタ regedit
ローカルセキュリティポリシー secpol.msc
ローカルユーザとグループ lusrmgr.msc
ログオフ logoff
ワードパット write
Bluetooth ファイル転送ウィザード fsquirt
DirectX診断ツール dxdiag
Disk Partition Manager diskpart
Iexpress Wizard(自己解凍書庫作成) iexpress
Internet Explorer iexplore
nslookup nslookup
ODBCデータソースアドミニストレータ odbc32
SQLクライアント設定ユーティリティ cliconfg
Windows アカウントデータベースのセキュリティ保護 syskey
Windows 悪意のあるソフトウェアの削除ツール mrt
Windows バージョン情報 winver
Windows Management Infrastructure wmimgmt.msc
Windows Media Player wmplayer
Windows Script Hostの設定 wscript
Microsoft Access msaccess
Microsoft Excel excel
Microsoft Outlook outlook
Microsoft PowerPoint powerpnt
Microsoft Word winword

 

ハイパーコンパージド、今が熱い!

会社では仮想化ソフトウエア(ハイパーバイザーと言う)として、VMwareのESXiを2013年に導入した。ハイパーバイザーは、スーパーバイザー(OS:オペレーティングシステム)よりも上の層で使われる。ハイパーバイザーは、ESXiは圧倒的なシェアを誇るが、ESXi以外にも有名どころで次のがある。
・VMware ESXi
・Xen
・Microsoft Hyper-V
・KVM
等。

Windows Serverを利用すれば、自ずとHyper-Vは利用できるし、Windows10からは気軽にHyper-Vを利用できる。個人的には、MacOS上にVMware Fusionを入れ、Windows10やピンポイントで評価版のWindows Serverを入れて弄(いじく)ったりしている。参考までに、Windows評価版の期限をリセットするには、「slmgr /rearm」コマンドを実行する。

ハイパーバイザーには2種類あり、
・ホスト型ハイパーバイザー
(MacOSやWindows等のOSの中にソフトウエアとして利用するため、OS経由する)
・ベアメタルハイパーバイザー・ネイティブハイパーバイザー
(OSの外、サーバに直接インストールする)
一般的にベアメタルハイパーバイザーをハイパーバイザーと呼ばれている。

絵でもわかるように、ホスト型ハイパーバイザーの場合は、ハードウエアを操作するにあたってはOS経由となる。一方、ベアメタルハイパーバイザーは、直接ハードウエア(bare metal:ベア メタル)を弄くれるため、最大限にパフォーマンスが得られるため、現在主流の仮想化基盤となっている。

ここでは、ベアメタルハイパーバイザーを以降、ハイパーバイザーとして説明していく。

 

ハイパーバイザーを利用するにあたっては、ゲストOSを載せるホストサーバとゲストOSを保存するストレージ(ディスク)が必要となる。これらのサーバをくっつけ合わせる仕組みとして、次の3種類ある。
・DAS(Direct Attached Storage)
・NAS(Network Attached Storage)
・SAN(Storage Area Network)

会社には贅沢にもSANを入れて、約70台のゲストOS(仮想マシン)を立てて利用している。ただ、この構成は後ほど説明するが、コスト的に苦しむ結果に至る。

DAS NAS SAN
ストレージ接続方法 直接 LAN(ネットワーク) ストレージ専用のネットワーク
接続ケーブル SAS(Serial Attached SCSI)等 LAN FC、iSCSI等
導入コスト 安価 安価 高価
アクセス速度 サーバ経由のため遅い ネットワークに依存 負担もなく高速
運用リスク サーバ障害時に利用不可 ネットワーク混線時に影響 高額以外は特になし
管理リスク 専門性不要のため低価格 専門性不要のため低価格 専門性必要のため高価格

一般的にサーバを購入なう!とかといった場合はDASとなる。ファイルサーバや、バックアップサーバとしてディスクが欲しいな、といった場合にはNASを利用する。こういったDAS、NASは特に考え込まなくても利用できるものの、SANとなると、ベンダーに委託が必要となる。逆に、ベンダーに委託する理由の大きなポイントとしては、「安全・安心・短期納入」という所だろう。

SANの構成として、最初はホストは2台でストレージは1台にエンクロージャー(シャーシー:HDDを入れる箱)を4台接続した構成となっていた。その後、物理サーバで動いていたグループウエアを仮想化に載せるため、ホストを1台追加し、エンクロージャーを2台追加し、増強を行った。この増設が比較的、SE作業費が膨らみ、いい値段になった記憶がある。

ホストを追加したために、FCSW(FCスイッチ:ファイバーチャネル:光ケーブル)の空きポート不足と陥っているのが現状。ではなぜ、FCSWを大きいポート数のものにしなかったのか?それは、コスト面の問題。5年リースと考えた場合、そろそろリソース不足になるのが3〜4年目となり、そろそろ更新を検討しなくてはいけない時期となる。リソースのうち8割程利用すれば大成果、半分切れば計画失敗となるだろう。

この構成だと、ホストを追加すればストレージ不足となる。ストレージを追加すれば、ストレージ内のディスクを構築していかなくてはならない。色々と各システムが複雑に構成されているため、至る所でチューニングが必要となる。

更に言えば、ハイパーバイザーのソフトサポートが切れる前に、保守を受けるためにバージョンアップが必要だ。2013年に入れているわけなので、当時のvCenterのバージョンは5.1。これは2018年8月でEOL(サポート期限)。現在最新のバージョンは、6.5 Update 1。2018年9月にリース満了を迎えるため、当社の場合はぎりぎりといったところかもしれない。こういったハイパーバイザーをアップデートするには、色々なリスクがある。但し、再リースを行うのであれば、ハイパーバイザーのアップデートが必要になってくる。どちらを採用するかは、経営層が承認するかに依存するかもしれない。

 

そういった、個々のハードウエアを導入し、それを一本化させ、チューニングさせたりする不便さを解決してくれるのが、「ハイパーコンパージド」製品。コンパージドとは「集約した」という意味。つまりホスト向けサーバやストレージ、それらを繋げるネットワークといったハードウェアと、ハイパーバイザや管理ツールといったソフトウェアをあらかじめ構成させ、一体化されたシステムとして販売されるITインフラ基盤こそが、ハイパーコンパージド製品である。

そして、各社がハイパーコンパージド製品を競い始めており、長い目(10年とか)で見た時に、中小企業にとっても非常にメリットが出てくるに違いない製品と思っている。Hyper-Converged Infrastructureを略して、HCIと呼ばれているが、聞いたことがない。

ハイパーコンパージド製品は、いまが熱い!各社色々と出している。
NUTANIX(2016年シェア52%以上)
HPE SimpliVite(2017年国内リリース)、Hyper Converged(SimpliViteを押している)
VxRail(DELL EMCとVMware共同開発)
Cisco HyperFlex(2016年国内リリース)

NutanixはSupermicro製を採用した自社製品の他に、HPEやLenovoにソフトウエアとして提供しているモデルがある。HPEにはHyper-V対応のHyper Convergedがあるが、ここではSimpliVity(シンプリビティ)で比較をする。

Nutanix HPE SimpliVity VxRail HyperFlex
メーカー Nutanix
HPE
Lenovo
DELL
Cisco
HPE DELL Cisco
ハイパーバイザー VMware
Hyper-V
Acropolis (KVM)
VMware VMware VMware
SSD/HDDハイブリッド オールフラッシュ
*ハイブリット版はリリース予定
×? ×?
重複排除
クラウド連携

SimpliVityは2017年4月に買収し6月に国内リリースしたHPE(日本ヒューレット・パッカード)。SimpliVityの大きな特徴は、データのインライン重複排除/圧縮処理を行うハードウェアアクセラレーターカードを搭載している点。これにより、稼働中のアプリケーションパフォーマンスに影響を与えることなく、リアルタイムでデータ処理を実行できるという。一方、Nutanixはメモリが安価になってきたため、アクセラレーターではなくても十分対応できるという考え方。

更に、SimpliVityは重複排除や圧縮技術に関しても優れており、一般的なブロックサイズ(256~8192KB)よりも細かい8KBブロック単位で重複排除処理を行うなどの技術によって、平均60~70%という高いデータ削減率を実現しているのも特徴。また、データ移動が最小化されていることで、1TBの仮想マシンであれば、平均60秒でバックアップ/リストアできるという。

HPEは「米Nutanixと並んでHCI製品のリーダーとして評価されている。海外でのユーザーによる評価は高い」とアピール。「米Nutanixは歴史が長く日本で売れているが、できればHPE SimpliVity 380が日本でシェア1位をとりたい」と展望している(impress、2017.06.15)。

一方、ハイパーコンバージドの先駆者であるNutanixは、2009年に創業し、すでに世界80カ国以上に4,473社を超える顧客を要している実績がある(EnterpriseZine、2017.02.01)。

更にNutanixの場合は、同じ製品を揃える必要はなく、適したモデルを組み合わせれば良いとのことだ。ディスク容量が不足しているのであれば、ストレージ専用モデルNX-6000シリーズで接続すれば良いとのことだ。

 

これをHPE SimpliVityで行おうとしても、同じ筐体を買う必要がある。せっかくストレージ専用のMSAがあるというのに、接続できないとのことだ。

NutanixやHPE SimpliVity以外にも、富士通やNECとかもハイパーコンバージド製品を取り扱われているため、コストメリットが見出せるのであれば、情報収集でき次第、執筆していきたい。

Office365のメール監査機能を活用しよう。

Office365メール(Exchange)のメール監査機能は、単純に『情報漏洩対策』による目的以外にも、今まであったメールが無くなったんだけど「何かした?」というクレーム対策にも活用できるとExchangeブログJapanに記載がある。また、当記事は、マイクロソフトのテクニカルサポートで回答が来た内容も含めて執筆しています。

(参考)メールボックス監査ログの活用(ExchangeブログJapan、2015.11.10)
(参考)突然アイテムが消えた!場合の対策(ExchangeブログJapan、2015.04.15)

Office365管理者は比較的弱い立場にいるかもしれない。何もできるように思われるからだ。まして、第三者のメールは見れるんでしょ?と馬鹿げた質問もしてくる。メールのパスワードが分からない限り、原則見ることができない。また、メールアドレスに対し、監査機能を有効にしていれば、見ることも可能だが、逆にシステムによって「監査されている」ため、そんな危険行為に足を突っ込みたくない。

Office 365 のセキュリティおよびコンプライアンス(Microsoft、2016.12.21)」には、詳しくOffice365管理者機能であるセキュリティやコンプラに関する内容が記載されている。また、「Office365の監査(Microsoft、2016.12.21)」にはメールのExchange Online、グループウエア的なSharePoint Onlineの監査ができるという。ここでは、Exchange Onlineの監査機能に絞って説明していきたい。

Office 365 でメールボックスの監査を有効にする(Microsoft、2016.12.21)」によると、監査機能はデフォルトでは無効になっている。しかし有効にすることで、メールボックスの所有者、代理人、および管理者がによるメールボックスへのアクセスをログに記録できるようになる。だったら、最初から有効にして欲しいところだが。

この「監査機能」を利用するためには、Exchange Onlineプラン2が必要となる。すなわち、Office365 E3〜E5は利用できるが、E1や、Exchange Onlineプラン1を利用している場合は利用できないのだ。そのために、Exchange Online Archiving(EOA)ライセンスが別途必要となる。<参考:Exchange Online Archiving のコンプライアンス機能とセキュリティ機能(Microsoft、2016.12.21)> そのために、監査機能が初期値で無効になっているのだろうと考えられる。

このE3以降もしくはEOAを別途契約している場合、監査機能を有効にしないともったいない。この監査機能が有効なのか、無効なのかを確認するには次のコマンドで確認できる。user@domain.com部分は、確認したいメールアドレスを入力する。

Get-Mailbox -Identity user@domain.com | Select DisplayName,PrimarySmtpAddress,AuditEnabled,AuditDelegate,AuditOwner,AuditLogAgeLimit

全てのメールアドレスに対し、設定値がどうなっているか調べるには、次のコマンドで、CSV出力ができる。

Get-Mailbox -ResultSize Unlimited -RecipientTypeDetails UserMailbox | Select DisplayName,PrimarySmtpAddress,AuditEnabled,AuditDelegate,AuditOwner,AuditLogAgeLimit | Export-Csv -NoTypeInformation -Encoding UTF8 "C:\temp\AuditEnabledList_AllList.csv"

<実行結果>
[AuditEnabled]
メールボックス監査ログについて
※有効であれば True、無効であれば False となる。

[AuditDelegate]
メールボックス所有者以外がアクセスを行った操作において、記録される項目が表示される。

[AuditOwner]
メールボックス所有者がアクセスを行った操作において、記録される項目が表示される
※値が空白の場合、設定が行われていない状況となる。

[AuditLogAgeLimit]
メールボックス監査ログの、ログの保存期間が表示される。初期値は90日間。

これでAuditEnabledがFalseになっていれば、次の流れで処理する方法が望ましい。なお、【3】と同じ処理。

【1】メールボックス監査ログの有効化
【2】監査項目の追加
【3】メールボックス監査ログの期間変更
【4】設定状況の確認
【5】メールボックス監査ログの出力

 

【1】メールボックス監査ログの有効化

・特定のアドレス

Set-Mailbox -Identity user@domain.com -AuditEnabled $true

・全てのアドレス

Get-Mailbox -ResultSize Unlimited -RecipientTypeDetails UserMailbox | Set-Mailbox -AuditEnabled $true

 

【2】全ての監査項目の追加

(参考)PowerShellコマンドレット:Set-Mailbox

・特定のアドレス

Set-Mailbox -Identity user@domain.com -AuditDelegate @{add="FolderBind,Move,MoveToDeletedItems,SendOnBehalf"} -AuditOwner @{add="Create,HardDelete,SoftDelete,Update,MailboxLogin,Move,MoveToDeletedItems"}

・全てのアドレス

Get-Mailbox -ResultSize Unlimited -RecipientTypeDetails UserMailbox | Set-Mailbox -AuditDelegate @{add="FolderBind,Move,MoveToDeletedItems,SendOnBehalf"} -AuditOwner @{add="Create,HardDelete,SoftDelete,Update,MailboxLogin,Move,MoveToDeletedItems"}

 

【3】メールボックス監査ログの期間変更

初期値は90日。90日あれば十分かと思われるが、00:00:00 ~ 24855.03:14:07 内で指定が可能の模様。どんだけ記録が必要なのか?
例えば、400日に変更する場合は次の方法となる。

・特定のアドレス

Set-Mailbox -Identity user@domain.com -AuditLogAgeLimit 400.00:00:00

・全てのアドレス

Get-Mailbox -ResultSize Unlimited -RecipientTypeDetails UserMailbox | Set-Mailbox -AuditLogAgeLimit 400.00:00:00

 

【4】設定状況の確認

1〜3の設定がされているか確認するコマンド。これは、冒頭に記入済み。

・特定のアドレス

Get-Mailbox -Identity user@domain.com | Select DisplayName,PrimarySmtpAddress,AuditEnabled,AuditDelegate,AuditOwner,AuditLogAgeLimit

・全てのアドレス

Get-Mailbox -ResultSize Unlimited -RecipientTypeDetails UserMailbox | Select DisplayName,PrimarySmtpAddress,AuditEnabled,AuditDelegate,AuditOwner,AuditLogAgeLimit | Export-Csv -NoTypeInformation -Encoding UTF8 "C:\temp\AuditEnabledList_AllList.csv"

 

【5】メールボックス監査ログの出力

2017.7.1〜2017.7.7までの情報を出力する場合。
(参考)PowerShellコマンドレット:Search-MailboxAuditLog

・特定のアドレス

Search-MailboxAuditLog -StartDate 7/1/2017 -EndDate 7/7/2017 -Identity user@domain.com -ResultSize 250000 -ShowDetails | Export-Csv -NoTypeInformation -Encoding UTF8 -Path "C:\Temp\MailboxAuditLog-User-20170707.csv"

*Outlook on the Web (OWA,OotW)にログインしたログを取得したい場合

Search-MailboxAuditLog -StartDate 7/1/2017 -EndDate 7/7/2017 -Identity user@domain.com -ResultSize 250000 -ShowDetails | Select ClientInfoString,ClientIPAddress,LastAccessed | Export-Csv -NoTypeInformation -Encoding UTF8 -NoTypeInformation -Path "C:\Temp\OWAAuditLog-User-20170707.csv"

・全てのアドレス

Get-Mailbox -ResultSize Unlimited -RecipientTypeDetails UserMailbox | Search-MailboxAuditLog -StartDate 7/1/2017 -EndDate 7/7/2017 -ResultSize 250000 -ShowDetails | Export-Csv -NoTypeInformation -Encoding UTF8 -Path "C:\Temp\MailboxAuditLog-All.csv"

 

なお、コマンドは夜間にバッチで回しても特にシステムに負荷になるということも無いとのことだ。Office365への自動ログインについては、こちらを参考。また、タスクログとしてこちらを参考に記録すれば、何かあった際も振り返ることもできる。