自社からの情報流出を防ぐ出口対策のために自社のIT資産明確化と外部メディア制御が可能な資産管理ツールに注目が集まる。セキュリティ対策用機能を中心にIT資産管理ツールの最新動向を紹介する。
2014年7月に発生した大手通信教育事業者の情報漏えい事件を受け、ユーザー企業の情報セキュリティに対する意識が急激に高まった。特にアンチウイルスソフトを導入するなどの入口対策だけでなく、自社からの情報流出を防ぐための出口対策も情報セキュリティ対策として必要になる。
まず、自社のIT資産がどれだけあるかを明確にし、守るべき対象を特定もしくは優先順位を付ける必要がある。そこで必要となるのが資産管理ツールだ。今回は、ニーズの高まるセキュリティ対策用の機能を中心にIT資産管理ツールの最新動向を紹介する。
資産管理ツールは、クライアントPCとその内部にインストールされるソフトウェアに関する情報を収集、管理するためのツールだ。最近では業務で活用する機会が増えたスマートフォンやタブレット端末も管理対象に含まれている。
ツールが提供する基本機能は、ハードウェアおよびソフトウェアに関する情報を収集する「インベントリ収集機能」、クライアントPCにパッチ配布などを行う「ソフトウェア配布機能」、ソフトウェアライセンスを正しく把握するための「ライセンス管理機能」、各種IT資産をリスト化して管理するための「資産管理台帳機能」などが挙げられる。
冒頭でも触れたような大きな情報漏えい事件が発生すると、IT部門は経営トップから「うちの情報セキュリティ対策は十分か?」と問われることになる。当然、完璧なセキュリティ対策は存在しないとはいえ、可能な限り強固なセキュリティ対策を施す必要がある。
特に最近発生している情報漏えい事件の多くは、サーバからではなくエンドユーザーの利用するクライアントPCが起点となって発生するケースが多く、クライアントPC周りを十分に対策したい。
そこでPCの資産情報の収集から管理までを行う本来的な役割とは別の側面で、クライアントPCへのセキュリティ機能が実装できる資産管理ツールが大きく注目される。費用対効果の観点からも、資産管理とセキュリティ対策の両機能を提供する資産管理ツールは非常に有効だ。
いわば企業内の「経営資源」としてのIT資産を管理するという位置付けだった資産管理ツールが、情報セキュリティ対策の第一歩を踏み出すためのツールという位置付けに変わったということだ。
情報漏えいは、そのほとんどがクライアントPCを起点とするものだ。こうした事態を防ぐためには、PCからデータを取り出す行為を厳重に制御する必要がある。有用となるのが、資産管理ツールの外部メディア制御機能だ(図1)。
現在の資産管理ツールでは、一般的な外付けHDDやUSBメモリだけでなく、PCに接続して利用されることの多いスマートフォンやデジタルカメラなども制御対象にでき、接続される外部メディアごとに、使用可能/読み取り専用、使用禁止といった制御ポリシーが設定できる。
また、外部メディア制御機能の一部機能として重要なのが、WPD(Windows Portable Device)機器が制御できるか否かだ(図2)。2014年に情報漏えい事件を起こした大手通信教育事業者では、USBの利用制限だけでなく、PCの持込み制御やPC操作ログの取得など、標準レベル以上のセキュリティ対策を実施していた。だが、大きな事件を招いた。
大きな落とし穴となったのが、Windowsがサポートする携帯機器、すなわちWindows Portable Deviceに特有のファイル転送方式であるMTP(Media Transfer Protocol)とPTP(Picture Transfer Protocol)の使用制限が漏れていたことだ。
今回事件を起こした業務委託先のエンジニアが、顧客情報が保存されたPCにスマートフォンを充電しようとしてつないだところ、PCからスマートフォンにデータがコピーできることがたまたま分かり、それが顧客情報の持ち出しにつながったといわれる。
情報漏えいの起点はクライアントPCが多いという現状を肝に銘じ、PCに接続して利用される外部メディアは、全方位的に制御する必要がある。
自社の情報セキュリティを確保するためには、外部メディアの制御を行うと同時に、エンドユーザーの操作ログを取得し、怪しい操作が行われていないかをモニタリングする必要がある。
例えば、現在多くの企業が利用しているクラウド型オフィスツールであるOffice 365の操作ログや、Google Appsで利用されるGmailの送信ログなどを取得、管理できるツールもある(図3)。
また、クライアントPC内のファイルを、どこからどこにコピーしたか、途中でファイル名が変更されても追跡できる機能を付属した製品もある。ファイルのコピー元、コピー先、あるいは移動元、移動先までを把握することで、悪意を持った作業者による情報持ち出しを抑止することにつながる(図4)。
ただし先の大手通信教育事業者でも、クライアントPCの操作ログは取得していた。一番大きな問題はその分析が十分にできていなかったことだ。情報の持ち出しは1回にとどまらず、数カ月も続いた。どんなにキメ細かな情報セキュリティ対策をとったとしても、きちんとした運用管理体制が構築されていなければ、情報漏えいは起こり得るということだ。結局は人のオペレーションの問題に帰着する。
ユーザー企業の情報セキュリティ対策への関心が大きく高まる一方、クライアントPCの管理に割けるIT部門の人員には限りがある。そもそも専任のIT担当者がいない中小企業にとって、資産管理はハードルの高い取り組みだ。
こうした課題に対応するために、クラウドサービスとして提供される資産管理ツールもある(図5-1)。月額課金で利用でき、サーバ運用の手間も不要なため、その市場は大きく広がった。
この背景にはIT要員の不足に加えて、オンプレミス環境では管理できない地方拠点のクライアントPCやモバイルPC、さらには企業内での利用が加速するスマートフォンやタブレット端末も管理しなければならなくなったという現実がある。
これらデバイスは社内LANにはつながっていないため、インターネット経由での管理が求められることになり、そこにクラウド型の資産管理ツールを選択する必然性が生まれた。利用デバイスの増加やグローバル展開など、今後のビジネス側のトレンドを考えれば、これからはクラウド型を前提としなければ、柔軟でキメの細かい資産管理は難しくなるだろう。
また、収集した情報から社内のセキュリティ状態を自動的に診断し、セキュリティレベルをゲージで表示するものもある。日々の管理作業はコンソールのセキュリティレベルの確認で完結できるため、忙しいIT部門の負担も削減できる(図5-2)。
Amazon Web Services(AWS)やMicrosoft Azureといったクラウド基盤に製品を対応させ、さらにインターネット経由でのPC管理を実現したベンダーもある。上記のようにSaaS型で資産管理ツールを利用するのではなく、ITインフラそのものは保有したくないが、アプリケーション部分は自社で調達し、運用していきたいと考えるユーザー企業をターゲットにしたものだ(図6)。
2015年7月にはWindows Server 2003のサポートが終了し、ユーザー企業はサーバリプレイスなどの対策を講じる必要性に迫られるが、そのタイミングで全社的なクラウド基盤の採用を検討する企業もあるだろう。その際、クラウド基盤対応の製品は、ユーザー企業にとって有力な選択肢となる。
資産管理ツールの主な対象となるのはクライアントPCだが、それは基本的に社内ネットワークに常時接続されるものだ。企業内にはスタンドアロンで利用されるPCもあり、これらのデバイスをどこまで管理対象とするのかを検討する必要がある。
また、最近では複合機やプリンタがより高機能になり、搭載されたソフトウェアによってさまざまな機能が提供されるが、一方でサイバー攻撃の対象ともなり、ファームウェアを随時バージョンアップしていく必要がある。これはネットワーク機器についても同様だ。こうした機器までを管理したいのであれば、これら機器類を管理対象に含む製品を求めなくてはならない。
さらに今後はスマートフォンやタブレット端末に加え、Chromebookやウェアラブルデバイスといった新たなデバイスの利用が企業内で進む可能性もある。いずれにしても、世の中におけるこれらデバイスの普及状況次第ではあるが、資産管理ツールでどこまでをカバーするかのスコープを決め、それに対応できる製品選定を行う必要がある。
担当者の入れ替わりの多いIT部門では、マニュアルを読みながらツールの使い方を覚える時間も煩わしいだろう。そこで利用する製品は、担当者が変わってもすぐに作業を始められるような、直感的な操作性を提供するものが望ましい。例えば、図7に示した画面例では、分かりやすいアイコンを入り口として、制御したい外部メディアの各種設定を簡単に行える。
また、企業内には、エンドユーザーが利用するデバイスとしてスマートフォンやタブレット端末が登場し、サイバー攻撃の対象となり得る複合機やプリンタ、ネットワーク機器も守るべき対象として考慮しなければならない。そこで管理者の利便性向上を図るために、こうした全てのデバイスを1つの画面上で管理可能にした製品も提供される(図8)。
資産管理ツールは、基本的にIT部門が利用するものだが、クライアントPCからインベントリや使用ソフトウェアのバージョンなどキメ細かな情報を収集するためには、PC側にエージェントをインストールする必要がある。
製品導入時には、エージェントがクライアントPCの動作に与える影響が、見落とされがちだ。あるベンダーによれば、クライアントPC内でエージェントモジュールが10〜20個も動く製品もあるとのことで、これを見落としてしまうと、製品導入後にエンドユーザーは、PCが重くて使えないとか、頻繁に不具合が起こるといった事態に見舞われることになる。
こうした状況は、実際に使ってみなければ分からない。そこでデモ版を使用するとか、あるいは自社の利用環境に近い先行ユーザーをベンダーに紹介してもらい、実際の使用感覚を直接聞くといった対応を採ることが肝要だ。
エージェントの安定性はカタログにも乗らず、なかなか議論にも上らない話だが、買ってから大騒ぎにならないためにも、事前に十分な注意を払っておく必要がある。
直感的に操作できる管理画面の必要性を述べたが、実際の業務ではどうしても分からないことが出るだろう。そんな状況を管理者の視点に立って、キメ細かくサポートする運用ナビゲーションサイトを提供するベンダーがある。例えば「ファイルの操作履歴やサーバへのアクセス履歴を確認する」といった具体的な作業ベースの切り口から、実際の操作方法を画面付きでナビゲーションするものだ(図9)。
一方、エンドユーザー向けには、USBメモリの紛失や標的型攻撃対策など一般的な情報セキュリティ対策についてレクチャーする「セキュリティ教育サービス」を有償で提供するベンダーもある。
サポートサービスとは異なるが、次々に登場する新たなサイバー攻撃や企業内の環境変化に対応するために、年1回のメジャーバージョンアップと、年2回のマイナーバージョンアップを行う製品もある。目まぐるしく変化する現代では、製品進化のスピードもユーザー企業にとっては強力なサポートとなる。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。