That'z IT
運用ガイド

  Tanium

「Taniumのコンピュータグループ、何が何だかわからなくなっていませんか?」

導入時にSIerが作ったグループ、パッチ配信のたびに担当者が追加したグループ、テスト用に作ったまま放置されたグループ――。気がつけば100個近くに膨れ上がり、半分以上は誰が何のために作ったかわからない。こうした状態は、実は多くの企業で起きています。本記事では、コンピュータグループが「ぐちゃぐちゃ」になる原因を整理し、目的→軸→命名規則→運用ルールの順に、シンプルで運用しやすいグループ設計の考え方を解説します。

コンピュータグループ管理で起きがちな問題

コンピュータグループの管理が混乱している企業は非常に多く見られます。混乱が起きるパターンは、大きく3つに分類できます。

運用ルールが決まっていない・守られていない

最も根本的な問題は、コンピュータグループの運用ルールが存在しない、あるいは存在しても守られていないことです。「誰が」「どういうルールで」グループを作成・管理するのかが定まっていなければ、各担当者がそれぞれの判断でグループを作り続けることになります。

作業の都度作って、そのまま放置

パッチ配信やアクション実行のたびに新しいコンピュータグループを作成し、作業が終わった後もそのまま残しているケースです。Taniumのコンピュータグループは、一度作成するとメンバーシップのフィルタ条件を編集できないという特性があります。条件を変えたい場合は新しいグループを作り直すしかないため、結果としてグループがどんどん増えていきます。

担当者が変わって消すに消せない

「このグループは何に使われているのかわからないが、消して問題が起きたら困る」――担当者の異動や退職により、グループの目的や使用状況がわからなくなるケースも頻出します。結果として、用途不明のグループが削除されずに蓄積し続けることになります。

コンピュータグループ管理で起きがちな問題
コンピュータグループ管理で起きがちな問題

設計の起点は「何を分けたいのか」

コンピュータグループ設計の基本原則は、**「分ける必要があるものを分ける」**です。当たり前のように聞こえますが、目的が曖昧なままグループを作ってしまうことが混乱の根本原因です。

まず、「なぜグループを分ける必要があるのか」を整理しましょう。コンピュータグループを分ける目的は、大きく4つに分類できます。

管理範囲を分けたい

RBACの権限設計と連動する目的です。たとえば、組織ごとに管理者を分けて、それぞれの管理者が自分の担当範囲の端末のみ操作できるようにしたいケースです。

可視化の単位を分けたい

部門ごとにパッチ適用率を可視化したい、拠点別にセキュリティ状況をダッシュボードで確認したいなど、状況把握の単位としてグループを使うケースです。

配信対象を分けたい

特定の端末群に対してアクションを実行したい、アプリケーションを配信したいなど、ひとかたまりの端末に共通の操作を行うためにグループを使うケースです。

ポリシーを分けたい

標準的なポリシーで運用する端末と、機密情報を扱うため制限を強化した端末など、セキュリティポリシーを端末群ごとに制御するためのケースです。

この4つの目的のどれに該当するのかを明確にしてからグループを作成する習慣をつけることで、「何のために作ったかわからないグループ」の発生を防げます。

設計の起点は「何を分けたいのか」
設計の起点は「何を分けたいのか」

軸を決める

目的を整理したら、次は「何の属性で端末を分けるか」を決めます。よく使われる属性の軸は以下の5つです。

  • 組織 — 事業部、部門など
  • ロケーション — 本社、工場、海外拠点など
  • 端末種別 — PC、サーバ、タブレット、仮想マシンなど
  • OS — Windows、macOS、Linuxなど
  • 用途 — OA端末、OT端末、機密情報取扱端末、共用端末など

ここで重要なのは、5つの軸すべてを使う必要はないということです。分けたい目的に合わせて必要な軸を選び、組み合わせて使います。たとえば、「管理範囲を組織で分けたい」×「配信対象をOSで分けたい」であれば、組織軸とOS軸の組み合わせで十分です。

Taniumの機能としてはより柔軟な設定も可能ですが、できるだけ軸は絞ったほうがよいというのが実務上のベストプラクティスです。軸を増やせば増やすほどグループ数は掛け算で増えていき、管理が複雑になります。「とりあえず作っておこう」という発想は、冒頭で述べた混乱の再発につながります。

軸を決める
軸を決める

命名規則を決める

軸が決まったら、グループ名のルールを統一します。命名規則のポイントは、目的別のグループと作業用のグループを明確に区別することです。

目的別グループ

配信対象やポリシーなど、継続的に使用するグループです。グループ名を見ただけで目的と対象がわかる命名にします。軸の組み合わせをプレフィックスとして統一するのがポイントです。

命名パターンの例:

軸の組み合わせ命名例
組織 × OSSalesDept-Windows, Engineering-macOS
端末種別 × 用途Server-OT, PC-OA
ロケーション × OSTokyo-HQ-Windows, Osaka-Factory-Linux

作業用グループ

一時的なアクション実行やテスト用に作成するグループです。誰が、いつ、何のために作ったかがわかる命名にします。

命名パターンの例:Temp_Yamada_20260225_PatchTest

作業用グループは作業完了後に不要となるため、命名規則で区別しておくことで、棚卸し時に削除対象を判別しやすくなります。

命名規則を決める
命名規則を決める

運用を決める

動的グループとマニュアルグループの使い分け

Taniumのコンピュータグループには、動的グループマニュアルグループの2種類があります。

まず押さえておくべき共通の特性として、どちらのグループも一度作成するとメンバーシップの条件を編集できません。条件を変更したい場合は、新しいコンピュータグループを作り直す必要があります。この特性がグループ増殖の一因でもあるため、運用設計の段階で意識しておくことが重要です。

動的グループはTaniumの基本です。フィルタ条件(Question/Sensor)を定義しておくことで、条件に合致する端末を動的にグルーピングします。具体的な端末名がわからなくても、「Windowsである」「特定のネットワークに接続している」といった状態に合致する端末をターゲティングできるのがTaniumの強みです。

条件が編集できない制約を回避する有効な手段が、タグをフィルタ条件にする方法です。「特定のタグが付与されている端末」をフィルタ条件として動的グループを定義しておけば、タグの付与・削除で対象端末をコントロールできます。条件が変動するケースでは、タグを活用することでグループの作り直しを避けられます。

一方、マニュアルグループはホスト名のリストで端末を静的に指定する方式です。「明確に対象がわかっていて、そこにしかアクションを実行したくない」という場合に有効な手段です。

定期的な棚卸し

コンピュータグループは、年に1回は棚卸しを行うことを推奨します。特に担当者の異動があると、「誰がいつ何のために設定したのかわからない」グループが生まれがちです。年1回の棚卸しで、用途のわからないコンピュータグループを削減しておくことが、管理の健全性を保つうえで有効です。

棚卸しでは、以下のポイントを確認します。

  • そのグループの目的を担当者が説明できるか
  • 実際に使用されているか(アクションや配信に紐づいているか)
  • 命名規則に準拠している
  • 作業用グループで作業完了済みのものはないか
運用を決める
運用を決める

最初の一歩

「いきなり全部作り直すのは無理」というのは、もっともな話です。コンピュータグループの整理は、以下の順序で段階的に進めることを推奨します。

まずは不要なものの削除から着手してください。用途が説明できない作業用グループや、明らかに使われていないグループを削除するだけでも、全体の見通しは大きく改善します。

次に、運用ルールを策定します。これ以上グループが無秩序に増えるのを防ぐために、本記事で解説した「目的→軸→命名規則」のルールを定めましょう。使わなくなったグループは順次削除し、新たに作成するものはルールに則って作成していく。この積み重ねで、管理可能な状態に近づいていきます。

なお、コンピュータグループの設計は、RBAC(権限管理)の設計と密接に関連しています。管理範囲の設計はRBACと連動するため、合わせて検討することで、より整合性のとれた運用設計が実現できます。

最初の一歩
最初の一歩

コンピュータグループの設計は、ツールの設定作業ではなく組織の運用設計そのものです。自社だけで進めるのが難しい場合は、Taniumの運用に精通した専門家に相談することも有効な選択肢です。

← ニュース一覧に戻る