〜クライアントPCの“見える化”からスタート〜 「JP1」で取り組む クライアントPC環境の情報セキュリティ対策

　企業のホームページや重要サーバを狙った悪質な犯行は増えている。それらの脅威に対応するため、情報セキュリティ対策を最重要課題として取り組んでいる企業も多いことだろう。

　企業システムの中枢に位置するサーバやネットワークは、強固なセキュリティで守られていることは、容易に想像できる。だがここで、見落とされがちだが実は忘れてはならないのが、クライアントPC環境の情報セキュリティ対策である。

　企業内におけるITシステム全体のセキュリティレベルは、そのネットワークに接続されているすべてのIT機器のセキュリティレベルによって左右される。つまり、セキュリティ対策が施されないまま利用されているたった1台のクライアントPCによって、企業内のITシステム全体がセキュリティの脅威にさらされる可能性も十分考えられるのだ。

　日立製作所の「JP1」では、クライアントPC環境の情報セキュリティ対策を実現するソリューションも提供している。JP1はネットワークやストレージなどのシステム基盤管理から、システムの稼働状況のモニタリング、ジョブの自動化まで含めた統合システム運用管理ソリューションとして知られている。大規模システム向けのソリューションと思われがちだが、必要に応じて部分的な導入が可能であり、規模を問わず、PC 1台からスタートできる。また、容易に拡張できる点が大きな特長だ。

　今回はこの「JP1」にスポットを当て、企業のITコンプライアンスを守るJP1のクライアント管理ソリューションと情報漏えい防止ソリューションについて、それぞれ紹介していこう。

　システム管理者にとってクライアントPCのセキュリティ対策は重要な課題だ。クライアントPCの台数が多ければ多いほど、バージョンの異なるOSやアプリケーションが混在し、管理が困難になるからだ。部署ごとに利用しているウイルス対策製品が違うといったこともありうる。こういった状況をシステム管理者だけで把握することは難しいが、かといって業務部門や経理部門といった部署ごとに管理担当者を置くなどの措置を講じるのも現実的ではない。

　そこでJP1では、煩雑なクライアントPCの管理を強力に支援するクライアント管理ソリューションを用意している。

　実際の導入パターンを想定したモデルケースを見てみよう。このケースでは、本社である名古屋に100台、大阪の拠点にも50台のクライアントPCがある。この企業では、PCの資産番号やインストールされているソフトウェアなどについて、1台ずつ情報を調べて、台帳で管理する形で資産管理を行ってきた。また、拠点には専任のシステム管理担当者がおらず、PCに詳しい人が業務の片手間に管理を行っていた。

　しかも、社員のセキュリティ意識が低いため、OSのセキュリティパッチやウイルス定義ファイルの更新を全社レベルで強制的に行いたいという要望があった。これは、ユーザーの手間を減らすことも目的の1つにあるが、ユーザー任せでは社内のセキュリティ対策状況を正確に把握できず、セキュリティ対策不備の発見の遅れによるセキュリティリスクも想定されるからだ。

画面1　JP1/NETM/DMインベントリ情報確認画面（画像をクリックすると拡大します）

　「JP1/NETM/DM」はクライアントPCのハードウェア情報やインストールされているアプリケーションの種類などを「インベントリ情報」として取得し、一元管理できるソリューションだ。HDDの空き容量や実装メモリ容量といったハードウェア情報のほか、アプリケーションのインストール状況などのソフトウェア情報、PC利用者の氏名や所属などのユーザー固有情報を管理する。

　また、不正アクセスの攻撃対象となりやすいGuestアカウントや推測されやすいアカウント名とパスワードの組み合わせの有無、パスワードを更新してからの経過日数など、セキュリティ関連の設定内容についての情報も取得可能だ（画面1）。

　さらに、JP1/NETM/DMの管理画面では、マイクロソフトのセキュリティ対策パッチについて、セキュリティ深刻度やどういった脅威が想定されるかといった詳細情報を確認し、必要なセキュリティ対策パッチを選択してダウンロードするインターフェイスも提供している（画面2）。センターサーバからクライアントPCに対するセキュリティ対策パッチの配布やインストールも自動的に行うことができ、その配布状況はサーバからビジュアルに確認できる。

画面2　セキュリティ対策パッチの配布状況確認画面（画像をクリックすると拡大します）

　ウイルス対策ソフトのエンジンや定義ファイルのバージョン、実際にウイルス対策ソフトが常駐しているかどうかなども確認できる。このため、ウイルス定義ファイルが古いPCのみを抜き出し、最新の定義ファイルを配布するといった運用も可能だ。

　同社ではJP1/NETM/DMの導入により、クライアントPC 1台1台の情報を正しく把握し、適切なセキュリティ対策を全社レベルで実施できるようになった。これにより、利用者に負担をかけることなく、全社のセキュリティレベルを常に高いレベルで維持できる仕組みを確立することができた。

　同社が抱えていたもう1つの悩みがヘルプデスク対応業務である。特に、拠点サーバで問題が発生した際には、現地まで担当者が出向いて対応しなければならず、担当者の工数がかかるばかりでなく、対応が完了するまでの時間もかかり、サービス品質の向上は期待できない。

　また、クライアントPCのセキュリティ対策状況を調査した結果、アカウント名やパスワード、スクリーンセーバーのパスワード設定などが推測されやすいものであることが明らかになり、クライアントPCの利用者による対応が必要とされるケースがある。だが、こうしたクライアントPC側での設定変更を利用者自身にやってもらいたくても、なかなか簡単にできるものでもない。

　JP1/NETM/DM（リモート操作機能）では、ネットワークを経由して、遠隔地のクライアントPCの画面を自席端末から操作できる。シャットダウンやリブート、リモートログイン、ローカル・リモート間でファイルやフォルダの操作ができるファイル転送機能、ローカル・リモート間でクリップボードにあるデータを受け渡しできるクリップボード転送機能、一度に複数のPCと会話できるチャット転送機能などを用意している。

　JP1のリモート操作機能ならば、ヘルプデスク担当者と画面を共有して、操作支援を受けながら、設定変更を実施することが可能だ。また、リモート操作した内容は動画データとして記録でき、操作した内容を後から確認できるため、ヘルプデスク担当者の支援内容を示す証拠資料としても利用できるほか、クライアントPCの利用者が設定を変更するときの操作ガイドとして利用するといった使い方もできる。

　遠隔地間のPCをコントロールする場合、低速な通信回線を経由する場合がある。JP1はそうした低速な回線でも、表示画面の減色や転送データの圧縮、ローカルフォントの使用、ビットマップキャッシュによる描画機能などを用いて、スムーズに操作できる環境を提供する。

　また、リモート操作時のセキュリティにも配慮されている。OSが標準提供しているリモート接続用のプロトコルは、外部からの攻撃の標的となりやすいという側面も持っているが、JP1では、リモート操作を許可するPCのIPアドレスやユーザーを特定でき、第三者の不正アクセスを防ぐことができる。

　ITシステムの正しい管理を支援するためにクライアントPCに求められるもう1つの重要なポイントは、厳重な情報漏えい対策だ。

　JP1シリーズでは、「データを持ち出させない」「ポリシー外のPCはつながせない」「不要なソフトを使わせない」「クライアントPCの不正操作を見逃さない」という4つの対策で情報漏えいの防止を支援している。そこで次に、JP1の情報漏えい防止ソリューションについても、モデルケースを元に紹介していこう。

　導入企業は東京に本社を持つ社員500人の中堅企業で、大阪、名古屋に支社を持つ。社内にノートPCを導入したことから、盗難や置き忘れなどによる機密データの漏えい対策が急務となった。PCの内蔵HDDだけでなく、USBメモリやCD-Rなどの外部メディアの盗難・紛失に対しても情報漏えい対策を講じる必要がある。

　それも、ユーザーに負担をかけることなく、機密データに対するセキュリティを高めなければならない。また、社内だけでなく、取引先とのデータのやりとりもスムーズに行いたいという要望があった。

■HDDやリムーバブルディスクの暗号化で機密情報を「持ち出させない」

　「持ち出させない」ためのソリューションとして、データを暗号化する「JP1/秘文」を用意している。JP1/秘文を利用すれば、内蔵HDDだけでなくさまざまな外部メディアをドライブ単位で暗号化できる。クライアントPCにJP1/秘文をインストールするだけで、データの保存時や読み出し時に自動的に暗号化・復号化が行われるため、ユーザーはそれらを意識しないで使用できる。また、ドライブ全体でデータが暗号化されているため、ドライブごと盗まれても閲覧される心配はない。

　JP1/秘文でフォーマットしたメディアにデータをドラッグ＆ドロップするだけで、社内外で利用するメディアを暗号化できる。暗号化されたデータはJP1/秘文をインストールしていないクライアントPCでは見られないため、情報漏えいを防止できる。

　日常業務の中ではメールに添付ファイルを付けて送信することが多く、誤送信なども情報漏えいの原因となることが多かった。これに対し同社では、JP1/秘文による暗号化ファイルをメールに添付することで、セキュリティを確保することができた。

　社外やほかの部署など、JP1/秘文を導入していない組織外にデータを渡す際は、自己復号型の暗号化ファイルが利用可能だ。パスワード付きの自己復号型ファイルを用いることで、受信側がJP1/秘文をインストールしていない場合でも、パスワードを入力するだけで復号化でき、通常の業務に余計な手間を加えることなく情報漏えい対策を実施できた。

　同社ではJP1/秘文の導入により、万が一PCを置き忘れたり、盗難に遭った場合でも、機密データの漏えいを阻止できるようになった。しかもユーザーに負担をかけることなく、従来の操作性を保ったままセキュリティを高めることに成功した。

図1　セキュリティ管理の導入事例

■許可されていないPCを企業システムに「つながせない」

　社員の私用PCなどの社外から持ち込まれたPCは、OSパッチの適用やウイルス対策ソフトなどのセキュリティ対策が不十分な可能性が高い。そこで同社では次に、この「つながせない」運用を実現することで、不正なPCの侵入路を絶ち、セキュアな環境を確保した。

　「JP1/NETM/Network Monitor」を利用すれば、PCをMACアドレスやIPアドレスによってチェックし、管理外のPCを接続させないことができる。これにより、容易にセキュアな業務環境を確保できるのだ。

　また、たとえ管理対象のPCであっても、長期不在でセキュリティ対策が一時的に疎かになっているケースや、出張によるノートPCの持ち出しなどでウイルスに感染するケースもありうる。

　そのような場合には、「検疫システム」に拡張させることでセキュリティ対策を自動化できる。接続するPCのセキュリティをチェックした上で、対策が不十分なPCを治療し、社内システムへ復帰させることで、スムーズな業務遂行とセキュアな社内システムの両立を支援するのだ。

■不正利用ソフトウェアを「使わせない」

　情報漏えいの危険性の高いファイル交換ソフトなどを社内で使用したり、社員が会社のPCを使って不正な操作をする危険性もある。

　不要なネットワークポートを閉じることも重要だが、JP1/NETM/DMでは業務に不要なソフトウェアの起動を抑止する機能を提供している。許可したソフトウェアだけを使用させることも可能だ。

■不正操作を「見逃さない」

　情報漏えいを防ぐためには「持ち出させない」「つながせない」「使わせない」といった対策が有効だが、万が一情報が漏えいしてしまった場合、クライアントPCの操作履歴が原因究明の重要な手がかりとなる。

　JP1/NETM/DMはクライアントPCの操作履歴を記録し、管理する機能を提供する。文書の編集やホームページの参照、イメージの編集、ゲームの利用、メール参照といった操作履歴を記録でき、不適切な操作をしたユーザーを特定することも可能だ。監視していることを公表することでユーザーのセキュリティ意識の向上を図るとともに、万が一情報漏えいした場合の原因究明の手がかりとして備えることができる。

　クライアントPCはセキュリティホールになりやすく、また数も多いため管理が容易ではない。だがクライアント管理ソリューションや情報漏えい防止ソリューションを活用することで、スムーズな業務遂行を実現し、情報漏えいによるリスクを未然に防ぐことができる。また、ITシステムを正しく管理することでクライアントPCの「見える化」にもつなげることができる。

　IT資産管理やセキュリティ対策を考える上で重要なことは、まず「自分の会社では何ができていて、何ができていないのか」を正確に把握することだ。その上で、必要と考える対策を段階的に実施していけばいい。

　JP1では企業のさまざまな要望に対応する、きめ細かなソリューションを提供する。企業に対するコンプライアンスが強く求められる現在、クライアント管理ソリューションや情報漏えい防止ソリューションは、必須のソリューションといっても過言ではないだろう。