#3:エンドユーザーの技術レベルを低く見積もりすぎる
多くのユーザーには前項が当てはまるのだが、多くの企業には少なくとも何人かの高度な知識を持つコンピュータを趣味にしている人がおり、彼らは技術をよく知っている。あなたが導入した制約が彼らにとって不便な場合、彼らは独創的なやり方でその制約を回避する方法を思いつく。そういったユーザーのほとんどは、悪意は持っていない。彼らはただ、自分のコンピュータの使い方を誰かにコントロールされるのを嫌がっているだけなのだ。特に、あなたが何も知らないかのように彼らを扱っているような場合にはそうなりがちだ。
こういうユーザーに対するもっともよい対処法は、彼らのスキルを尊重しているという態度を示し、彼らの意見を聞き、ルールや制約を設けている理由を説明することだ。高速で走るレースカーを安全に扱う能力を持つ最高のレースドライバーでも、公道では速度制限に従わなくてはならないのと同じように、あなたがルールに従うように主張するのは、彼らの技術的なスキルを疑っているからではないと説明するとよい。
#4:監査機能を有効にしない
Windows Serverにはセキュリティの監査機能が組み込まれているが、デフォルトではこの機能は有効になっていない。この機能にはあまり説明する文書もないことから、一部の管理者はこれを利用しないでいる。しかし、それは恥ずべきことだ。監査機能を使えば、ログインの試みや、ファイルやその他のオブジェクトへのアクセス、ディレクトリサービスへのアクセスも記録できるのだ。
Windows Server 2008ではActive Directoryドメインサービス(AD DS)の監査機能が強化されており、より細かい粒度での監査ができるようになっている。組み込みの監査機能やサードパーティの監査ソフトウェアなしでは、セキュリティの問題が起こった時に何が起こったかを特定し、分析することはほとんど不可能になる場合がある。
#5:システムをアップデートしない
これは考えるまでもないことだ。サーバとクライアントマシンに最新のセキュリティアップデート適用しておくことは、ダウンタイム、データの損失、その他のマルウェアや攻撃などの問題を防ぐために大きな効果がある。ところが多くの管理者は後手に回っており、それらの管理者のネットワークでは適切にパッチされていないシステムが動いている。
これが起こる理由はいくつかある。人員不足で仕事の負荷が高すぎるIT部門は、リリースされた直後にパッチを適用する余裕がないかも知れない。結局、アップデートの適用は常に「ただやればいい」だけのものではない。アップデートの中には他の物事に影響を与えるものもあり、ネットワーク全体を止めてしまうこともあり得るということは誰もが知っている。従って、新しいパッチは、実務ネットワークのアプリケーションと設定状態を模したテストベッド環境で慎重にチェックする必要がある。しかし、これには時間がかかり、それだけの時間は取れないかも知れない。
できる限り手順を自動化することで、それらのアップデートの処理は楽になるかもしれない。例えば、テスト用のネットワークは、Microsoftが月例パッチをリリースする前に毎月準備するとよい。適用しても安全だと判断したパッチの適用には、Windows Server Update Services(WSUS)やその他のツールを使って手順を単純化し、自動化する。そして、OSだけでなくアプリケーションもアップデートが必要だということを忘れてはならない。
