社用PCの運用管理を支援する「セキュリティポスチャマネジメント」

PC運用管理の課題解決を支援
セキュリティポスチャマネジメント

今回は、テレワーク環境も含めた社用PCの運用管理について考えてみる。皆さんは、社用PCを利用するにあたって、どのようなことを実施するよう指示されているだろうか。大きく「PC・ソフトウェアの資産管理（OSを含む）」「OS・ソフトウェアの設定、パッチ適用」「マルウェア対策ソフトウェアの更新と検知時の対処」に分類されるだろう。これらの項目はセキュリティにも関わるため、正しく実施されなかった場合に何が起きるかを想像すると、どれも重要であることがお分かりいただけるだろう。

資産管理ソフトウェアだけでは
社用PCの運用管理は不十分

　PC運用管理の一部を例に、その重要性について紹介する。まず、PCの資産管理は、PCの台数、入手時期、設置場所、利用者、管理者、インストールされているソフトウェア、各種設定、パッチ適用状況などを把握するためのベースとして重要だ。さらに、マルウェア感染のアラートが発生した場合、感染源調査、感染範囲調査、端末隔離などを行う上でも重要となる。

　OSやソフトウェアのパッチ適用や、マルウェア対策の重要性も言うまでもない。次から次へと発見される脆弱性にはパッチの適用が必要となる。また、マルウェア対策ソフトウェアは、その更新有無を常に確認し状態を最新に保ち、万が一マルウェアが検出された際はルールに従って対処することが求められる。

　社用PCの運用管理の重要性はお分かりいただけたと思う。では実際のところ企業ではどのように対応しているのだろうか。

　多くの企業が資産管理ソフトウェアを導入しているだろう。一般的な資産管理ソフトウェアには、PCやソフトウェアの資産管理、各種パッチの配布・自動実行といった機能がある。操作ログの取得やデバイス制御、OS・ソフトウェアの脆弱性を可視化するものもある。ここまでできていれば、運用管理については問題ないように思えるかもしれないが、本当に十分だろうか。いくつかのシチュエーションを例に考えてみたい。

社用PC導入後のセキュリティリスク

１．新規PC配布時
多くの場合、必須のソフトウェアが初期インストールされているセットアップ済みのPCが配布されるであろう。まず初めにやることは、資産情報の登録だ。PCの入手時期、設置場所、型式、資産番号、利用者、管理者などを登録する。ここまでは簡単だが、この後が大変だ。各種認証設定、ファイルサーバーへのアクセス設定、メールのセキュリティ設定・誤送信対策、OSやソフトウェアの最新パッチ適用状況の確認、マルウェア対策ソフトウェアの最新状態へのアップデートなどがある。基本的には手順書が用意されていると思うが、手順書を確認しながらの設定は手間がかかり、ミスも発生する。設定が完了したと思っても、各種ソフトウェアが想定どおりに動かない場合、手順をさかのぼりながら間違った箇所を調査していろいろと試すことになると思うが、そうしているうちに、どこまで正しく設定できているのか分からなくなる。IT業界にいる我々でもミスをするのだから、例えばIT業界でない人たちがテレワーク環境で確実に実施するとなるとより一層ハードルが高くなってしまう。

２．通常運用時
　OSやソフトウェアのパッチ適用、アップデート依頼への対応も注意したい。問題なく対応できればいいのだが、インストール済みの他のソフトウェアとの相性問題やディスク容量不足、ネットワークの問題などの理由でうまくいかない場合もある。オフィスであれば誰かに助けてもらうこともできるかもしれないが、テレワーク環境ではなかなか難しい。それから、OSやソフトウェアに重大なセキュリティの脆弱性が発見されて、まだパッチが発行されていない、検証が終わっていないなどの理由からパッチを当てられない場合も気を付けてほしい。暫定対策としてOSやソフトウェアの設定変更を行う際、手順書が分かりづらければ、設定ミスもあるだろう。

　さらに、従業員が対応の重要性を理解できておらず、依頼が無視されてしまうと、脆弱性を抱えた状態で利用を続けることとなり、そこからマルウェアに感染、インシデントに至るという可能性もある。

３．マルウェア検知時
マルウェア検知時、まず初めにやることとして、ネットワークからのPCの隔離、続いて情報システム／情報セキュリティ部門に連絡し、指示に従う、という流れが思い浮かぶのではないだろうか。ところが、テレワーク環境ではこうはいかない。PCをネットワークから隔離してしまうと、情報システム／情報セキュリティ部門の連絡先が分からなくなる上に、対処手順を参照することもできない。これは、ネットワーク障害が発生した時に自分も経験したことがあるが、盲点であり厄介である。

セキュリティポスチャマネジメントは
DX推進時に意識したい重要な考え方

　ここまで、PC運用管理の重要性と、その実態や課題を挙げてきた。日々、運用管理に携わって会社のICT環境を支えている情報システム／情報セキュリティ部門の方々には頭が下がる思いである。

　ゼロトラストセキュリティには、「セキュリティポスチャマネジメント」という考え方がある。日本語では「セキュリティ常態管理」というこの考え方は、デバイス、クラウドサービスなどの状態やセキュリティリスクを「可視化」し、「分析・評価」を行い、可能な限り「対策」を自動化して迅速に対応し、セキュリティレベルの維持管理に努めるというものだ。

　可視化は、脆弱性の有無、設定の不備、禁止ソフトウェアのインストール状況など、分析・評価は、CVSS※や各種ガイドラインによるセキュリティレベルの評価、対策は、パッチ適用や設定の自動化、適用失敗時のリトライ、ユーザーや管理者への自動通知などが挙げられる。

　このような仕組み（製品・サービス）を用いることで、今回取り上げている社用PCの自律的コントロールや、セキュリティリスクへの対応力向上を実現し、かつ運用負荷を軽減できる。セキュリティポスチャマネジメントは、セキュリティ人材不足を課題とする企業の情報システム／情報セキュリティ部門の方々を支援するだけでなく、セキュアなDX推進に向けて今後重要となっていくであろう。