pr

遠回りに見えて実は近道 クライアントPC管理で 自社に降りかかるリスクを軽減せよ

		サーバ管理とは異なる要素が求められる「クライアントPC」管理

　オフィスを見渡してみると、開発作業に従事するエンジニアはもちろん、営業やマーケティング、総務、経理担当者に至るまで、PCを持たずに仕事をしている人のほうが少数派だろう。数年前は、「1人に1台」という環境が目標とされたものだが、いまではそれは、オフィスの当たり前の風景になっている。

　ここで1つ考えなければならないことがある。膨大なクライアントPCの管理をどう行き届かせるかという問題だ。

　もちろん、企業によってはクライアントPCに劣らぬ数のサーバを運用していることもあるだろう。だがサーバならば、用途はほぼ決まっている上、管理下にあるデータセンターやサーバルームに置かれるため、システム管理者の目は比較的届きやすい。これに対してクライアントPCは、単純に数が多いだけでなく、業務に応じて用途はさまざま。その都度異なるアプリケーションが導入され、多様な環境で利用されることになる。

　中には、従業員の自由度や利便性を損なわないため、クライアントPCの管理もユーザー自身に任せるべきという考え方もあるだろう。これにも一理あるが、最低限の管理水準を満たさないと、企業が思いもよらぬリスクにさらされる可能性がある。

		回り道に見えて実は近道、根本的な情報漏えい対策とは？

　クライアントPCの管理が不十分であることが原因となって発生するトラブルの最も顕著な例が、顧客情報や機密情報の流出だ。

図1　JNSAがまとめた最も多い情報漏えい経路・媒体

　日本ネットワークセキュリティ協会（JNSA）がまとめた「2007年度 情報セキュリティインシデントに関する調査報告書」によると、最も多い漏えい経路・媒体は「紙媒体」で40.4％を占め、「Web・Net」が15.4％、「USBなど可搬記憶媒体」が12.5％で続くという結果になっている。

　この中で注目したいのは、USBなど可搬記憶媒体の比率が、2006年の8.2％からほぼ1.5倍に増加していることだ。JNSAでは「USBやフラッシュメモリなどが低価格化して利用数が増加していること、利用者の管理や媒体の取り扱いがまだ不十分なことにより、インシデントが増加しているものと推測できる」と指摘している。この経路は実は、USBをはじめとする各種ポートや記憶媒体の使い方について社内ルールを定め、そのルールが守られるようクライアントPC側の設定を徹底していれば、経路をふさぎ、情報漏えいを防ぐことができるはずのものだ。

　また、2位に挙げられているWeb・Net経由には、「Winny」をはじめとするP2P型ファイル共有ソフトネットワーク上への情報流出が含まれている。ウイルス感染によって、ユーザーが知らないうちにPC内のさまざまなファイルがインターネット上に流出してしまうものだが、これも、クライアントPCにインストールすべきソフトウェアを明確にし、ポリシーに反するアプリケーションの導入を阻止する仕組みが整えられていれば、情報流出という最悪の事態は防げたはずだ。

　あるいは、クライアントPCの状態を監視し、OSやウイルス対策ソフトウェアの状況を最新に保つシステムがあれば、水際でウイルスやマルウェアへの感染を食い止めることができたかもしれない。

　事実、最近は、改ざんされたWebサイトやターゲット型攻撃などを通じて、まずクライアントPCに侵入し、さらに別の悪意あるソフトウェアを次々とダウンロードして情報を盗み取るといったタイプの攻撃が増加している。外部からの直接的な攻撃とは異なり、対処が困難なこうした脅威を防ぐためにも、まず水際のクライアントPCのセキュリティレベルを高く保つ仕組みが、これまで以上に求められている。

　一歩進んで、クライアントPCでどのような操作が行われているかを把握する仕組みも考えられる。具体的には、PC上でファイルに対して、いつ、どのような操作が行われたか、あるいはいつUSBなどのデバイスが接続されたかといったログを収集することにより、万一事故が発生した際の原因追及が容易になる。こうしたログを収集しているという事実を周知することにより、おのおのの意識が高まるという効果も期待できる。

　このように、情報漏えいやコンプライアンス対策という大きな課題に対しても、まず足元のクライアントPCの状態を把握し、適切に管理し、ポリシーを順守できる体制を整えていくという地道な作業を積み重ねていくことが、一見遠回りに見えても実は近道といえるだろう。

		生産性向上の観点からも必要なクライアントPC管理

　ここまでは、企業全体に影響を与えるリスク管理やセキュリティ対策という観点から、クライアントPC管理の必要性について触れてきた。加えて、もっと実際的な問題もある。例えばもし、目の前のPCが壊れてしまったらどうしたらいいだろう？

　多くの企業では、こうした緊急事態に備えて予備機を用意しているだろう。だがそれにしたって、パッチの適用やプリンタなどの設定にはじまり、必要なアプリケーションを導入しなければならない。こうした作業には数時間、下手すると日単位の時間が掛かってしまう。その間、業務はストップしたままだ。

　こうした場合に、必要なファイルや設定、アプリケーションを配信し、業務継続に最低限必要な環境をスピーディに整える仕組みがあれば、いらいらする待ち時間も減るというものだ。もちろんシステム管理者の側も、これまで投じていた手間を省くことができるし、自動化によって設定ミスをなくすこともできる。

　また、ここまで極端な例でなくとも、あまりに長時間、業務とは無関係なWebサイトを閲覧するといったことがあれば、生産性が損なわれる。不用意なWebサイトの閲覧はウイルスやボットの侵入につながり、セキュリティリスクを高める可能性もある。まず理解を得ることが必要だが、従業員がクライアントPCを介してインターネットをどのように利用しているか、ログを把握する仕組みを整えれば、ウイルス感染時などの緊急対応に役立つし、ユーザー自身が自重するという抑止効果も得られるだろう。

		クライアントPCの位置付けを明確にし、標準の整備を

　と、このように書いてくると、まるでクライアントPCをルールでがんじがらめにし、システム管理者が定めた通りの使い方しかできないよう固めてしまうことが正解のように思われるかもしれない。しかし本来PCは、自由に拡張し、さまざまな使い方を広げることのできるツールだ。このことを忘れてしまっては、管理のための管理に終わってしまい、本来のポテンシャルを発揮することができなくなってしまうだろう。

　まずは、各部署にどんな端末があるのか、その構成やソフトウェアも含めて把握すること。そして、ユーザーがクライアントPCをどのように使っているかを理解し、その利用法とセキュリティポリシーなどをすりあわせながら、自社なりの「標準」を定めることが重要だ。

　いったんベースラインさえできてえしまえば、あとは差分をアップデートし、必要に応じてポリシーをアップデートしていけばよい。この作業は、知恵を絞りつつ、Excelファイルを片手に進めることも可能だが、それを効率化できる製品もあるので、必要に応じて取り入れるといいだろう。同種の機能をサービスとして提供しているケースもある。

・資産管理ソフトウェア

クライアントPCのハードウェア／ソフトウェア情報を収集するほか、「パッチの適用状況」「ウイルス対策ソフトウェアの更新状況」「必須／禁止ソフトウェア」といったポリシーが守られているかを監視したり、PC操作ログを取得するなど、多様な機能を備えたものが登場している。管理者側からファイル／アプリケーションを配布したりリモート操作を行う機能を備えた製品もある。

・エンドポイント向けセキュリティソフトウェア

パーソナルファイアウォール／IPS機能によってウイルスをはじめとするマルウェアの侵入を防ぐ。資産管理ソフトウェアによっては、エージェントとの連携が可能だ。

・ディレクトリサーバ

LDAP、あるいはActive Directoryなどのディレクトリサーバには、ユーザー情報や各種インベントリ情報が格納され、ポリシーによるクライアントPCの制御が可能だ。

図2　資産管理ソフトウェアやディレクトリサーバなどを活用して効率化を（クリックすると拡大します）

　ただ、肝心なのは、どの製品を導入するかの前に、クライアントPCをどのように使うべきかという自社なりのポリシーを定めることだ。現状を無視した無理なルールを作っても運用されないし、あまりに逸脱した操作を野放しにするわけにもいかない。そのさじ加減を決めるのは自社自身であることを忘れてはいけない。

提供：株式会社野村総合研究所
株式会社ヒューマンテクノロジーズ
株式会社シマンテック
株式会社日立製作所
企画：アイティメディア 営業本部
制作：＠IT 編集部
掲載内容有効期限：2008年10月31日