第1回 企業におけるクライアントPC危機対策
上野宣
2004/8/28
コンピュータのセキュリティは鎖に例えて話されることが多い。鎖を引きちぎろうとしたとき、鎖の一番弱い部分が切れることになる。つまり、鎖の強度は鎖の一番弱い部分の強度ということだ。これはコンピュータのセキュリティでも同様のことがいえる。攻撃者や侵入者は、組織内のネットワークやサーバ、人的要素、そしてクライアントPCなどのすべての要素の一番弱い部分を狙ってくる。
セキュリティ対策というと、まずサーバやネットワークのセキュリティ対策を重要視してしまうかもしれないが、クライアントPCのセキュリティ対策も怠ってはならない。特に組織内でサーバに比べ台数も多いクライアントPCのセキュリティの要は何だろうか。連載を通して、クライアントPCのセキュリティに必要な対策を学んでいこう。
 |
クライアントセキュリティは最後の砦 |
クライアントセキュリティはエンドポイントセキュリティともいわれる。組織内のネットワークを見渡したとき、その端点に位置するのがクライアントPCであるが故だ。冒頭でも述べたように、セキュリティは全体の要素を加味する必要がある。クライアントセキュリティ対策ももちろん怠ってはいけない。
クライアントPCの挙動をすべて把握している組織の管理者はどれほどいるだろうか。往々にしてクライアントPCの管理はその利用者であるユーザーに任されがちである。Active Directoryのグループポリシーなどを適用して管理しているところもあるだろうが、クライアントPCへのソフトウェアのインストールやリムーバブルメディアの利用、インターネットへのアクセスなどはほとんどが管理対象外となっているのではないだろうか。
インターネット側から侵入してくる脅威に対しては、万全のセキュリティ対策を誇れる組織も多いだろう。しかし、そのセキュリティ対策だけでは内部のクライアントPCから発生した脅威に対応することはできない。境界でのセキュリティ対策と、クライアントPCのセキュリティ対策は、異なったものが必要になってくる。
ファイアウォールやIDS(侵入検知システム)、ゲートウェイでのウイルス対策、これらだけではクライアントPCから発生した脅威には対応することができない。例えば、ユーザーがウイルスに感染したノートPCを持ち込み、組織内のLANに接続してしまったとしたら、そこを発生源として組織内にウイルスが拡散してしまう。このような状況では、ファイアウォールやゲートウェイ上のウイルス対策などは役に立たない。クライアントPCを発生源とした脅威が発生すると、境界上でのセキュリティ対策では食い止めることができないのである。
クライアントPC自身に脅威に対応できる機能がなければ、境界上のセキュリティ対策で食い止められない脅威に対して防御することができない。クライアントPC自身が最後の砦となって防御する必要があるのだ。
|
クライアントPCを発生源とする脅威 |
クライアントセキュリティは、クライアントPC自身を防御することが目的であるが、真の目的はクライアントPCを発生源とする脅威からネットワーク全体を防御することである。クライアントPCを発生源とする脅威とは次のようなことを指す。
- 利用者自身がダウンロードしたスパイウェアやトロイの木馬などによる被害
- SSL-VPNなどのリモートアクセスによる管理者が感知しづらい不正アクセスなどによる被害
- ノートPCの移動などによって外部から持ち込まれたウイルスなどによる被害
- リムーバブルメディアによって外部から持ち込まれたウイルスなどによる被害
暗号化されていない通常のアクセスであれば、ある程度の脅威を境界上で除去することもできる。ところが、SSL通信やVPNなどによって暗号化された通信を経由してくる脅威に対しては、境界上のセキュリティ対策は無力になることが多い。
クライアントPCを発生源とする脅威で、最も脅威となるのは外部からの脅威の持ち込みである。ノートPCやリムーバブルメディアの移動によって、組織外部のネットワークやコンピュータなどで活動していたウイルスなどがダイレクトに組織内部のネットワークに持ち込まれるのである。この持ち込みばかりは境界上のセキュリティ対策では対応のしようがない。組織内のファイアウォールを通過することもないので、クライアントPC自身に防御策がないことには回避することができない。
|
ソフトやハードだけでは管理できないクライアントPC |
利用者自身が管理者ともいえるクライアントPCを(組織の管理者が)管理することは、サーバやネットワーク機器を管理すること以上に難しい。とにかく利用者の手元にあるクライアントPCは管理の目が行き届かないのだ。常時組織のネットワークに接続されているクライアントPCだけならばまだしも、出先から戻ってくるノートPCやリムーバブルメディアなどを管理することは容易ではない。
これらの対策は、ソフトウェアやハードウェアによるものだけではなく、セキュリティポリシーの策定によってルールを作ることで対策を行うことも視野に入れなければならない。利用者自身にルールを守ってもらうことで、組織を守るのである。しかし、セキュリティポリシーを導入し、それを徹底させることはソフトウェアやハードウェアを導入すること以上に難しい。厳しいルールで縛ると、それを何とか抜けようとする利用者が出てくる。厳しすぎるルールは逆効果であることもしばしばである。
それ故、セキュリティポリシーによるルールと、ソフトウェアなどによるセキュリティ対策の両方を的確に活用することが重要である。例えば、セキュリティポリシーによって利用者にセキュリティ対策を必ず実施しなければならないように義務付けることが望ましい。セキュリティポリシーで決められた内容がソフトウェアなどによるセキュリティ対策を伴わないと、管理者はクライアントPCを一切管理することができず、すべて利用者任せになってしまう。
|
1/2
|
|
| Index | |
| 企業におけるクライアントPC危機対策 | |
 |
Page1 |
| Page2 クライアントセキュリティ対策 - ウイルス対策ソフト - パーソナルファイアウォール - 統合管理 - 情報セキュリティポリシー - 検疫ネットワーク |
|
| 関連記事 | |
| クライアントセキュリティチャンネル | |
| 管理者のためのウイルス対策の基礎 | |
| Windows XP SP2のセキュリティ機能 (Windows Server Insider) | |
| ノートPCからの情報漏えいを防ぐ便利グッズ (System Insider) |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
