第1回 企業におけるクライアントPC危機対策
上野宣
2004/8/28
クライアントセキュリティ対策 |
クライアントPCに対して施すことができるセキュリティ対策を以下に紹介する。
●ウイルス対策ソフト
ネットワークの脅威として、まず思いつくのがウイルスによる被害である。ウイルス対策ソフトは、ウイルスやワーム、トロイの木馬といったさまざまな不正なプログラムからクライアントPCを防御してくれる。クライアントPC自身にインストールするタイプのウイルス対策ソフトはすでに一般的になってきているので、多くの組織ではすでに導入していることだろう。
ゲートウェイ上だけでのウイルス対策では、持ち込みPCなどによるウイルス被害は防御することが難しい。特に組織内に拡散してしまったウイルスは、クライアントPCに導入したウイルス対策ソフト自身による防御が必要となる。
個人向けのウイルス対策ソフトでもウイルス検出や除去という点からは性能に差はないが、企業向けのパッケージには集中管理ツールが提供されているため、ウイルス検出状況や、ウイルス定義ファイルのアップデートなどを管理することができる。そのため、組織としてウイルス対策ソフトを導入する際には、企業向けのパッケージを導入することをお勧めする。
●パーソナルファイアウォール
パーソナルファイアウォールは、自宅PC向けのファイアウォールだと思っている方もいるかもしれないが、組織内のクライアントPCに導入することで、クライアントセキュリティ対策のレベルを一段上げることができる。
通常のファイアウォールは、インターネットと組織ネットワークの境界上に設置することで、ネットワーク全体をひとくくりにして不正なアクセスを制限するものである。
それに対してパーソナルファイアウォールは、その境界を組織ネットワークとクライアントPCの間に引き、クライアントPC1台単位での不正なアクセスを制限することができる。また、パーソナルファイアウォールによっては、ルールに基づく単純なアクセス制御だけではなく、IDSと呼ばれる侵入検知ツールを搭載していることもある。
●統合管理
統合管理とは、複数台あるクライアントPCを一括管理することである。統合管理を行うことで、管理者はすべてのクライアントPCの状況を把握しやすくなる。
例えば、先に挙げたウイルス対策ソフトやパーソナルファイアウォールの企業向けパッケージでは統合管理ツールが提供されている。統合管理ツールを使うことで、1つの画面からすべてのクライアントPCに導入されたソフトウェアのログやバージョンの管理などを行うことができる。また、リモート管理が行えるため、クライアントPCにインストールされたすべてのソフトウェアに対して、一度に指示を出すことができる。
WindowsによるActive Directoryを構築している場合、セキュリティポリシー設定をドメインに参加しているクライアントPCに適用することができる。例えば、ソフトウェアのインストールの制御や、Proxyの一括設定、パスワードの管理などを行うことができる。
●情報セキュリティポリシー
すべての情報を組織の資産として位置付け、その扱いについてのルールを決めているのが情報セキュリティポリシーである。通常は、就業規則などと同レベルの位置付けで、社員などに対して効力を持っている。情報の取り扱いをはじめとし、サーバやネットワークの運用管理、クライアントPCの運用管理、利用者への制限など多岐にわたる取り決めである。
情報セキュリティポリシーを作成し、実施することで、クライアントPCの利用や、インターネットへのアクセス、適切なノートPCの扱いなどをルール化することができる。利用者は何も取り決めがないと、守るべき基準が分からない。そのためにも、指針となる情報セキュリティポリシーを策定することが重要な事項となる。
情報セキュリティポリシーは策定する際にも多大な労力を必要とするが、これに基づいたセキュリティ対策を実施することの方が難しい。情報セキュリティポリシーは作成したが、実質的に効力を発揮していない企業も数多くあるようだ。
●検疫ネットワーク
検疫ネットワークは、外部から持ち込まれたノートPCなどを検査のために一時的に接続するネットワークのことである。空港の検疫所を思い浮かべてもらうと分かりやすい。検疫所は入国する一歩手前で異常がないかを検査することで、国内に病原体などが持ち込まれることを水際で防ぐことができる。
外部から持ち込まれたノートPCは、組織内のネットワークに接続する前に、いったん検疫ネットワークに接続して、ウイルス感染や不正なパケットを発信していないかなどの一通りのチェックを行う。検疫ネットワークを活用することで、外部からの脅威を水際で防ぐことができるようになるのだ。
クライアントセキュリティ対策にはさまざまなものがあり、そのすべてを実施することはコストや時間の関係で難しいこともあるだろう。次回以降の連載では、クライアントセキュリティを具体的に解説していくので、それらを参考にして、自らの組織に必要なものを見極めて、順次導入していただきたい。
2/2
|
「第2回」へ |
Index | |
企業におけるクライアントPC危機対策 | |
Page1 |
|
Page2 クライアントセキュリティ対策 - ウイルス対策ソフト - パーソナルファイアウォール - 統合管理 - 情報セキュリティポリシー - 検疫ネットワーク |
関連記事 | |
クライアントセキュリティチャンネル | |
管理者のためのウイルス対策の基礎 | |
Windows XP SP2のセキュリティ機能 (Windows Server Insider) | |
ノートPCからの情報漏えいを防ぐ便利グッズ (System Insider) |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|