|
近年、個人情報などの情報漏えい事件が頻発したことを受けて、多くの企業が情報セキュリティツールを導入している。だが、セキュリティ予算や人的配分などの制約もあってか、セキュリティ対策が“漏えい事件が起こらない”ようにする「予防策」、あるいは“トラブルが起きた後でも被害を最小化する”「事後策」のいずれか一方しか行われていない例が散見される。
だが本来は、予防策、事後策ともに配慮した、総合的なセキュリティ対策が望ましい。情報セキュリティを確実に担保することは企業の責務であり、自社の信頼を守ることでもある。そうした対策を一度に実施するのは難しいが、最も重要なところから着実に手を施していく姿勢が大切だろう。
現在では、セキュリティ対策を段階的に発展させていくのに適した支援ツールも販売されている。例えば「社内に存在するIT機器に幅広く対応できる」「管理ツール同士を容易に連携できる」「拡張性に優れている」といった条件を満たすものを選んでおけば対策をスムーズに進められるはずだ。
今回紹介する日立製作所の統合システム運用管理「JP1」シリーズもそうした“条件”をクリアする製品の1つだ。データを「持ち出させない」、不要なソフトウェアを「使わせない」、PCの不正操作を「見逃さない」、社内ポリシー外のPCを「つながせない」という4つの切り口でセキュリティ対策を支援する製品群で、規模を選ばず、段階的に導入・拡張できる点を特徴としている。「いま最も注力すべきポイントから取り組みたい」場合には特に利用しやすいはずだ。
今回は、JP1シリーズの中から、「JP1/秘文」と「JP1/NETM」を取り上げ、「予防策」「事後策」の両面に着目しながら、取り組みのポイントを紹介しよう。
情報セキュリティ対策の第1歩として取り組むべきは「情報漏えい対策」だろう。これについては、機密データを外に「持ち出させない」ことを支援する「JP1/秘文」が適している。まず「予防策」の面では、JP1/秘文をクライアントPCにインストールすることで、管理者があらかじめJP1/秘文の管理サーバに設定したポリシーに従って、プリンタ、リムーバブルメディアなどの使用を制限できる。これにより、権限のない社員による情報の持ち出しを防げる仕組みだ。
例えば、Word、Excelといったアプリケーションで作成したドキュメント類のプリントアウトを禁止したり、情報漏えいの原因となりがちなCD-R、DVD-R、USBメモリといったリムーバブルメディア、外付けハードディスクへのデータコピーをしっかりガードできる。一方で業務効率にも配慮し、「会社が支給した特定のUSBメモリは使用できるが、自宅から持ち込んだUSBメモリなどそれ以外の記録媒体は使用できない」「使用を許可したUSBメモリでも権限のないユーザーはデータ(ドキュメント)を持ち出せない」といった制御をきめ細かく設定できる点が大きな特徴だ。
 |
| 図1 JP1/秘文をクライアントPCにインストールすることにより、許可されたUSBメモリ以外へのデータコピーを禁止できる。業務効率を阻害しないよう、データコピーを禁止するUSBメモリを細かく制御できる点もポイントだ |
また、JP1/秘文はさまざまな暗号化のポリシーを設定することができる。例えば「各種メディアにデータを保存する際は自動的に暗号化する」よう設定しておけば、リムーバブルメディアを社外で紛失してもデータを閲覧される心配がない。PC内のデータもドライブ単位で暗号化できるため、仮にノートPCごと盗難・紛失に遭っても情報漏えいによる被害を防ぐことができる。メールについても「すべての添付ファイルを自動的に暗号化する」、あて先ごとに「添付ファイルを自動的に暗号化する/しない」を区別する、「(添付ファイルの付いた)メール送信自体を許可/禁止」するといった細かな制御が可能だ。
暗号化したドライブ内のデータを復号(暗号化する前の状態に戻す)するには、Windowsにログオンするだけでよい。ログオン後は、暗号化されたデータにアクセスするたびに自動的に復号/暗号化が行えるようになるため、利用者に負担が掛からない。さらにWindowsログオン時にiKey(PCのUSBポートに差し込んで利用する認証用USB機器)や、ICカード、指静脈認証などを組み合わせて、セキュリティを強化することもできる。
一方、「事後策」の面ではアクセスログを取得し蓄積する機能を用意している。情報漏えい事件が発生した際、真っ先に行わなければならないのは「どのデータが、どれだけ漏れたのか」という問題の大きさの把握と、「いつ、どこから、どう漏れたのか」という漏えい経路、漏えい元の特定だが、JP1/秘文は「いつ」「誰が」「どんな」ファイルにアクセスし、「どんな経路で」持ち出したのかというログを、自動的にサーバに送信、暗号化して保存し、セキュリティ管理者が一元管理できるのだ。これにより、漏えい経路や漏えい元を特定できるだけではなく、ファイル持ち出しの傾向を分析して然るべき対策を打つこともできる。「ログを記録している」こと自体もセキュリティ意識の向上に効果を発揮する。
情報漏えい対策の最終的な目的は、そもそも“トラブルが起きない、起こさせない”環境を作ること。JP1/秘文で、日常的な情報漏えい対策とともに、継続的なセキュリティ体制強化も狙うことは、コンプライアンスを確実に担保するうえで非常に有効な手出てとなるはずだ。
次に取り組むべきは「クライアントPCのセキュリティ管理」だ。企業規模が小さく、PCの台数が少ないときには問題は少ないが、数が増えてくると、バージョンの異なるOSやアプリケーションが混在したり、ウイルス対策ソフトが部署によって異なるなど、確実な管理が難しくなってくる。こうした課題解決には、社内にある全クライアントPCのハードウェア情報や、インストールされているソフトウェアの種類などを示す「インベントリ情報」を自動取得し、一元管理できる「JP1/NETM」が適している。
例えば「予防策」の面では、「セキュリティパッチの適用情報などを取得し、社内PCの状態を把握したうえで、システム管理者が更新プログラムを確認して必要なパッチを選び、全社員あるいは特定の社員のクライアントPCに一斉配布する」といったことができる。
ウイルス対策ソフトも同様だ。管理者は、ウイルス対策ソフトのエンジンや定義ファイルのバージョン、実際にウイルス対策ソフトが常駐しているかを管理画面上でひと目で確認できる。全社あるいは部署別に定めたソフトウェア配布ポリシーに従って一斉配布したり、ウイルス定義ファイルが古いPCのみを抜き出して最新の定義ファイルを配布することも可能だ。
さらに、スケジュールを指定して、社内PCのプログラム更新を自動で一斉に行ったり、夜間にPCを起動してパッチ配布を実行し、終了後に自動的にシャットダウンすることもできる。すなわち、全社員が常に最新のOSを安全に使える環境を、業務効率を落とさず、手間なく整備できるというわけだ。
また、業務で利用するソフトウェアを個人の自由に任せると、セキュリティ上、リスクのある製品をインストールされてしまうことが考えられる。そこでJP1/NETMでは、業務で使うソフトウェアを「許可ソフトウェア」として設定し、それ以外のソフトウェアの起動を自動的に抑止することもできる。もちろん業務効率にも配慮し、ソフトウェアごとに、利用を許可するユーザーアカウントやユーザーグループを指定したり、利用できる時間帯を指定するなど、柔軟な制御を可能としている。
全ソフトウェアの保有ライセンスを一元管理できる点も見逃せない。部署ごと、個人ごとの内訳までドリルダウンしてライセンス利用状況を把握できるほか、ソフトウェアの稼働状況を月ごと、部署ごとに集計して稼働率を分析することもできる。これにより、違法にインストールされたソフトウェアなど、コンプライアンスを脅かす要因を取り除けるほか、使われていない“遊休資産”を別の部署に配布し直す、あるいは廃棄することで年間ライセンス契約料や保守料をカットするなど、コスト削減も狙うことができる。
 |
| 画面は遊休ライセンス一覧の表示例。ソフトウェアの保有ライセンスを全社、部署ごと、個人レベルまでドリルダウンして把握できる。なお、ソフトウェアのライセンス保有状況や稼働データを分析することで「利用されていないハードウェア」を抽出することも可能だという(クリックで拡大) |
最後はセキュリティに関連する、JP1/NETMの2つの機能を紹介しよう。1つは各拠点のPCトラブルに対応するためのリモート操作機能だ。JP1/NETMでは、リモート操作時に暗号化したIDやパスワードを使って認証を行うため、セキュアな環境下で障害対応が行える。ネットワーク障害でリモート接続が中断された際も、接続先PCにパスワードロック画面を表示し、拠点側のユーザーが勝手にPCを操作できない仕組みとしている。
2つ目はファイル操作の追跡機能だ。これはコンプライアンスを確保するうえで重要な意味を持つ。例えば資料を作る際、社内共有のファイルサーバから参考データをローカルにコピーするといったことが多くの会社で日常的に行われている。しかし、使った後もコピーファイルをデスクトップに放置しておいたり、ほかの人にも提供したり、といった行為を野放しにしておけば、機密ファイルが各社員のPCに散らばってしまう事態にも陥りかねない。
よって「機密ファイルは使ったら必ずローカルから削除する」といった運用ルールを定めるなど、機密情報が漏れない環境を作ることが求められるが、ルールを徹底させるためには、日ごろからファイル操作を監視することが不可欠となる。
 |
| ファイル操作追跡機能の画面イメージ。ファイル操作の記録を視覚的に追うことができる。JP1/秘文のリムーバブルメディアによるデータ持ち出し禁止機能と組み合わせることで、「予防策」「事後策」の両面をいっそう強化できる |
その点、JP1/NETMは、指定したファイルが「どこから、どこに、コピー/移動したか」や、「削除」「名称変更」「ファイルオープン」といったファイルの操作ログを記録・蓄積し、管理画面で視覚的にチェックできる。「監視している」こと自体が運用ルール徹底に寄与するとともに、トラブルが起こった際も迅速に原因を究明できる体制が整うというわけだ。
さて、今回は「情報漏えい対策」「クライアントPCのセキュリティ管理」という2つの施策について、「予防策」「事後策」の両面から紹介した。ただ、セキュリティ対策の継続的なレベルアップを狙ううえでは、「セキュリティ」以外の視点からも、IT資産の管理に求められる要件を見直し続けることが重要だ。
例えば「コスト削減」の観点では、「IT資産の見える化」や、頻繁に組織変更があっても人的リソースをあまり使わず、手間なくIT資産を管理できる「IT資産の自動管理機能」などが求められる。「障害対応」では、復旧の手掛かりとなる「構成変更管理機能」などが、「コンプライアンス」面ではライセンス違反のソフトを入れさせないなど、不正ができない環境作りが重要となる。
こうして列挙してみると、これらすべてがセキュリティレベル向上に寄与するものであると分かるはずだ。セキュリティ対策に「万全」はない以上、「いかに不正をさせない環境を提供できるか」「複数の視点からIT資産の管理状況を見直し続けることできるか」といった点が、見落としを防ぎ、「万全」に近付けていく秘けつなのだ。
また、セキュリティを確実に担保するうえでは、施策を支えるツールの信頼性もポイントとなる。その点、発売後15年が経つJP1シリーズは、さまざまなニーズに応えながら進化し続けてきた製品として、多くの企業に採用されている。「セキュリティ対策状況の可視化」機能など、着実なレベルアップを図るための機能も充実しており、数ある製品の中でも信頼性、使いやすさはトップレベルといえる。JP1は、運用管理ソフトウェア部門で12年連続国内トップシェア(出典:テクノ・システム・リサーチ、2009年9月)を継続していることも、その裏付けとなるだろう。
セキュリティ対策を挫折せずに円滑に進めるコツは、「小さく始めて、大きく育てる」こと。まずはウイルス対策ソフトのインストールや、OSのパッチ当てを徹底させることから始めてみてはどうだろう。
※記載の登録商標について企業名、製品名は、各企業の商標または登録商標です
※記載の内容について
画面表示をはじめ、製品仕様は改良のため変更することがあります
関連リンク |
|
 JP1 製品サイト 動画コンテンツ掲載中! |
JP1 体験版 |
メールサービスのご案内 |
お問い合わせ |
提供:株式会社日立製作所
アイティメディア営業企画
制作:@IT情報マネジメント編集部
掲載内容有効期限:2009年12月23日
 |
関連リンク |
 JP1 製品サイト動画コンテンツ掲載中! JP1 体験版
メールサービスのご案内お問い合わせ |
関連記事 |
| セキュリティ、コスト、技術者不在――中堅・中小企業のPC管理の悩みを救え (@IT Special)「JP1」で取り組むクライアントPC環境の情報セキュリティ対策 (@IT Special)
|
用語辞典 |
| コンプライアンス(@IT情報マネジメント用語事典)
|
ITmediaはアイティメディア株式会社の登録商標です。
