PR
表1 不適切なパソコンを社内ネットに接続した場合の危険性
表1 不適切なパソコンを社内ネットに接続した場合の危険性
[画像のクリックで拡大表示]
図1 ポリシー・エンフォーサーの仕組み パソコンが企業のセキュリティ・ポリシーを満たしているかを検査し,社内ネットワークに接続させるかどうかを判断・制御する。
図1 ポリシー・エンフォーサーの仕組み パソコンが企業のセキュリティ・ポリシーを満たしているかを検査し,社内ネットワークに接続させるかどうかを判断・制御する。
[画像のクリックで拡大表示]

増谷 洋 NRIセキュアテクノロジーズ 事業開発部長
安東 守道 NRIセキュアテクノロジーズ 事業開発部セキュリティエンジニア

 社員のパソコンを様々な脅威やぜい弱性から守るには,ウイルス対策やパーソナル・ファイアウォールなどが正しく設定されていなければなりません。そのためには,クライアントのセキュリティ設定を適宜確認して強制する「ポリシー・エンフォーサー」が有効です。

 ノート・パソコンが,業務で利用されるパソコンのかなりの部分を占めるようになりました。それに伴い,ノート・パソコンを外出先のネットワークや公衆無線LANにつなぐ機会も増えています。ウイルス対策ソフトの定義ファイル更新や,パーソナル・ファイアウォールの設定が正しく行われていないと,ウイルスに感染する恐れが出てきます。その状態で,ノート・パソコンを社内ネットワークに接続したために,社内にウイルスがまん延してしまうといった事態も相次いで起こるようになりました(表1)。

ウイルス対策の集中管理だけでは足りない

 こうした事態に対処するため,ウイルス対策ソフトやパーソナル・ファイアウォールの集中管理ツールなどを導入し,常に最新のウイルス定義ファイルなどをクライアント・パソコンに配信する対策も採られるようになっています。しかし,こうした対策だけでは十分とはいえません。

 最近,勝手に持ち込んだノート・パソコンを社内ネットワークに接続したり,Winnyなど業務上不適切なソフトウエアやスパイウエアがインストールされたパソコンを社内で利用したために,情報漏えいにつながる事例が見られます。その原因は,パソコンの不適切な設定や利用方法によるもの,ぜい弱性の対策漏れなど様々です。

 こうした事態を防ぐために必要になるのが「ポリシー・エンフォーサー」と呼ばれる仕組みです。パソコンの設定が企業のセキュリティ・ポリシーに適合しているかを検査し,適合していない場合に強制的に適合させることがポリシー・エンフォーサーの役割といえます。

ポリシーは大きく2種類

 ポリシー・エンフォーサーの管理対象は,大きく「ユーザーの行動ポリシー」と「パソコンの設定ポリシー」の二つに分けられます。

 ユーザーの行動ポリシーを規定し徹底する目的は,情報漏えいにつながる恐れがあるユーザーの不正行為を監視し是正することです。具体的には,USBメモリーやCD-R/RWなどのリムーバブル・メディアの利用を制限・禁止することで情報の不正な持ち出しを防いだり,ドキュメントの印刷を監視・制限したりします。

パソコンのセキュリティ不備を補う

 一方のパソコンの設定ポリシーは,パソコンをぜい弱性やスパイウエアなどの脅威から守るために欠かせません。ウイルス対策ソフトの定義ファイルの更新状態を最新に保つことがパソコンの設定ポリシーの一例です。ポリシーに適合していない“不備”を見つけた場合は,社内ネットワークに接続させないようにしたうえで,ポリシーを強制適用します(図1)。

 パソコンの設定ポリシーを管理するポリシー・エンフォーサー製品は,ほとんどが米マイクロソフト製品のパッチ適用状況についての診断を対象範囲としています。ただし,パッチ適用状況以外に様々な設定を確認できるかどうかや,マイクロソフト製品以外もカバーしているかどうかは,製品によって異なります。

 また,パーソナル・ファイアウォールと統合されているポリシー・エンフォーサーもあります。ぜい弱なパスワードの利用やUSBポートの利用状況など,パソコン自体の危険な設定や,パーソナル・ファイアウォールの設定ルールの詳細を確認できます。

他システムとの連携でより効果的に

 ポリシー・エンフォーサーを利用することで,問題が見付かったパソコンをスムーズに社内ネットワークに再接続できるようにすることも重視すべきでしょう。例えば,問題があると判明したパソコンに対してポリシーを強制適用するだけでなく,ユーザーにパソコンがポリシーに適合していないことを伝えることも重要です。

 例えばポリシー・エンフォーサーの中には,問題のあるパソコンのネットワーク接続を遮断する際に,パソコンに「何が問題なのか」,「問題を解決するためにはどうしたらよいか」といったメッセージを送るものがあります。

 また,ポリシーに適合しないパソコンを検疫ネットワークに退避させ,そこで問題の解決方法を指示したりパッチを配布できる製品もあります。こうした仕組みとの連携も,ポリシー・エンフォーサーの重要な機能として検討すべきでしょう。