セキュリティ対策コスト削減の鍵は「点検作業の自動化」にある：分かっていても徹底できないことはある

働き方が多様化する中、エンドポイントを狙う攻撃は後を絶たない。セキュリティツールを導入する以外にもPC設定の見直し、OSアップデートなど対策はあるが、手動では限界がある。課題解決の鍵は「設定の点検自動化」にある。

[PR／＠IT]

PR

　テレワークの普及を中心にワークスタイルが大きく変革したことは、多くの人が実感しているだろう。

　出社を前提とした働き方に戻す企業も徐々に増えてはいるが、大企業を中心に、オフィスでの業務とテレワークを組み合わせたハイブリッドワークを実施し、生産性の向上とワークライフバランスの両立を図ろうとする動きは止まらない。それと同時に、オンプレミスのシステムからSaaS（Software as a Service）、IaaS（Infrastructure as a Service）といったクラウドサービスへの移行もいっそう加速している。

日立ソリューションズの栗原啓氏

　この結果、社内ネットワークの中だけで扱われていた情報資産がクラウド上でも扱われるようになった。そのため、ゼロトラストの考えの下、ネットワークセキュリティの見直しやID管理などの導入を進めた企業もある。これらの対策はもちろん必要だが、統制をとりにくいために脆弱（ぜいじゃく）になりがちなエンドポイントの対策もおろそかにはできない。エンドポイントの脆弱性をサイバー攻撃者は見逃さないからだ。

　日立ソリューションズの栗原啓氏（セキュリティソリューション事業部 セキュリティプロダクト第1部　ビジネス推進グループ　主任技師）は次のように指摘する。

　　「一番弱い部分から狙ってくるのが、サイバー攻撃者の常とう手段です。働き方の変化に伴ってエンドポイントが会社の外に持ち出されたことで、攻撃に遭うリスクがいっそう高まっています。また同時に、人材の流動性も高まっており、転職などに乗じて機密情報を持ち出される恐れがあります」

　こうした背景から、改めてエンドポイントセキュリティの重要性が高まっている。

呼び掛けや手動では徹底するのが難しい基本のセキュリティ対策

　では、エンドポイントのセキュリティ対策としてはどんな手段が必要だろうか。基本の対策は、OSやソフトウェアを常に最新の状態にアップデートし、パスワードをはじめとする各種設定を適切な状態に保ち続けることだ。

　攻撃者がエンドポイントを侵害する手法は大きく2つ。1つ目は、フィッシングメールのように人間をだまして悪意あるURLやプログラムをクリックさせること。2つ目は、脆弱性や不適切な設定を悪用する手法だ。前者はセキュリティ教育などで、後者はOSやソフトウェアを適宜アップデートし、脆弱なパスワードや設定をなくすことで対処が可能だ。

　「そんなことは当たり前」と思う人も多いかもしれない。だが、当たり前のことを実践するのは意外と難しい。

　既に多くの企業では、情報システム部やセキュリティ担当が「セキュリティパッチは迅速に適用するように」「設定は適切に保つように」と呼び掛けているだろう。従業員もその必要性を理解し、できる限りルールを守りながらPCを運用しているはずだ。だが、日々の業務に追われてうっかり更新を忘れたり、業務を優先して設定を変更したりすることはある。

　そうした抜けや漏れをなくすために、定期的にPCの点検作業を、手動でする企業もあるが、結果として従業員、管理者ともに負担を増やすことになっている。

　日立ソリューションズの調査※によると、企業の約半数は従業員にPCの点検作業を任せており、おおむね1カ月に1回程度、セキュリティパッチが適用されているかどうかの確認などをしているという。

　※「PCセキュリティ設定チェックの点検業務」に関する調査（調査期間：2023年2月2日〜2023年2月3日、調査対象者：従業員が500人以上在籍している企業に勤務しており、情報セキュリティに関する部門に所属している会社員、団体職員＜正社員＞、公務員）

　「問題は、その作業に30分以上かかっているという回答が23％もあることです」（栗原氏）

　管理者側も、どんな項目を点検すべきかを検討し、具体的な手順をまとめてドキュメントを作り、周知し、もしルールに反しているPCがあれば是正のための措置を伝え、対処してもらわなければならない。その工数も多大なものになる。

　日立ソリューションズの試算によると、もし従業員500人規模の企業で、年に12回、20分かけてPCの点検と是正をしたとすると、述べ2000時間ものリソースが費やされることになる。1人当たりの単価にもよるが、仮に1時間当たりの人件費を5000円と仮定すると、年に1000万円分の時間が単なる点検作業に費やされることになる。これは、経営としても無視できない数字だ。

日立ソリューションズの試算（提供：日立ソリューションズ）

攻撃につながる恐れのある脆弱性や設定を検出し、是正まで自動化

　このようにITシステムでは、しばしば「運用でカバー」する場面が見られる。だが、エンドポイントのセキュリティ点検を運用に頼っていては管理者と従業員の双方に多大な負荷がかかるだけでなく、漏れや見逃しが生じる可能性がある。

　「点検はしているけれど、どうしてもセキュリティの穴が埋まり切らないという課題があります」（栗原氏）

　そうした課題を解決する手段が、適切なツールの活用だ。目視など手動で確認していた部分をツールで自動化することによって負荷だけでなく、ミスや抜け漏れを減らすことができ、セキュリティの厳格化にもつながる。

　そうしたツールの一つが「秘文 統合エンドポイント管理サービス」だ。サイバー攻撃で悪用される恐れのある脆弱性や設定を診断し、是正する機能を提供する。日立ソリューションズの山口拓人氏（セキュリティソリューション事業部　セキュリティプロダクト第1部　ビジネス推進グループ　主任）は次のように補足する。

日立ソリューションズの山口拓人氏

　「『秘文』というツール自体には、なじみがある人もいるかと思います。日立ソリューションズが提供するセキュリティ製品で、USBメモリなどへのデータコピーを防止する『秘文 Device Control』、暗号化して情報を保護する『秘文 Data Encryption』といったラインアップがあります。秘文 統合エンドポイント管理サービスはこうした技術を活用しつつ、従業員がより業務に専念できるような環境作りを支援するコンセプトで開発されました」

　秘文 統合エンドポイント管理サービスは、盗難紛失対策、内部不正対策といったこれまで秘文が得意としてきた機能に加え、PCやスマートデバイスなどのIT資産管理や、ポスチャマネジメントなどの外部脅威対策を包括的に実現する、UEM（統合エンドポイント管理）製品だ。クラウドサービスとして提供され、管理対象のPCが社内にあろうと、社外にあろうと、1つのツールで管理できるようになっている。

秘文 統合エンドポイント管理サービスの概要（提供：日立ソリューションズ）

　最大の特長は「PCセキュリティ設定の自動点検」機能だ。スクリーンセーバーは有効か、「Microsoft Word」や「Microsoft Excel」などのマクロが無効になっているか、「Microsoft Outlook」のオートコンプリート機能が無効になっているかなど、よくある点検項目について自動で点検を実施。これによって、従業員が手動で確認し、管理者がそれを取りまとめる工数を削減可能だ。点検項目はカスタマイズできるので、顧客独自の項目を追加できる。

　その他、アプリケーションの脆弱性情報と各PCから収集した情報を突き合わせて、脆弱性の可能性があるPCを洗い出す機能もある。

　「OSの設定やアプリケーションの脆弱性が悪用されてランサムウェアに感染したり、オートコンプリート機能によって予測されたアドレスにメールを誤送信したりする事故が起きていますが、その原因となる脆弱性や設定を日々点検できます」（山口氏）

　単に状況を可視化し、改善点を指摘するだけでなく、是正まで自動化できることもポイントだ。

　是正作業は、単に機械的にパッチを適用していけば済むものではない。最近では日々、数多くの脆弱性が公表されており、「どれから対処していけばいいか」と迷う場面が増えている。もちろん、リスクの高いもの、優先順位の高いものから対処すべきだが、では「どれがリスクが高いのか」を判断するのは、荷の重い作業だ。

　秘文 統合エンドポイント管理サービスは、そうした運用上の悩みを肩代わりする。「現状がどうなっているか」という情報を収集するだけでなく、「どう活用し、適切に対処するか」を支援する。

　「指摘された問題のリスクが高いのか、低いのかを判定したり、修正方法を自力で調査したりするのは非常に難しい作業です。秘文 統合エンドポイント管理サービスは情報収集から可視化、分析、リスク判定、そして是正・通知に至るサイクルを自動化することで、点検の抜け漏れを防ぎセキュリティリスクを低減します」（山口氏）

　人手頼りから脱却することで抜けや漏れを減らすだけでなく、点検のサイクルを短縮し、重大な脆弱性を長期間放置してしまう可能性も減らせる。

秘文 統合エンドポイント管理サービスの自動化機能（提供：日立ソリューションズ）

セキュリティの点検を肩代わりし、安心して本業に専念できる環境を目指す

　ある企業で約1000台のPCを対象に秘文 統合エンドポイント管理サービスを適用したところ、それまでも定期的に点検していたにもかかわらず、ファイルの拡張子表示を無効化していたり、Microsoft Outlookのアドレス帳でオートコンプリート機能を有効にしていたりといった非推奨な設定が約4500件指摘される結果になった。ただ、そのほとんどが自動的に是正されたので、大きな問題にはつながらなかったという。

　「秘文 統合エンドポイント管理サービスは、『できているつもりでもできていなかった』『やっていたけれども何かの拍子に変更されてしまった』といった設定の問題を検出できます。また、セキュリティ強化という実質面に加え、従業員一人一人がセキュリティリスクに不安を抱いてビクビクしながら運用しなくても済むという効果ももたらします」（山口氏）

　セキュリティ対策は、企業が円滑に事業を続ける上で不可欠な要素だが、あくまでも本業は他にある。いくらPCのセキュリティを確保するためだからといって、その作業に膨大な時間を取られ、煩わされるのは望ましい状況とはいえない。

　「秘文 統合エンドポイント管理サービスは、従業員の皆さんが何もしなくても、運用の手間をかけなくてもセキュリティを維持し、自分たちの業務に専念できるよう支援します」（栗原氏）