 |
〜 クライアントセキュリティの必要性を問う
〜
<座談会>
境界線がなくなったネットワークへの
セキュリティ対策とは |
Blasterワームに代表される複合型ウイルスの登場や、企業や組織でのモバイルPCの普及(図1)に伴い、従来のネットワークの保護だけでは十分にセキュリティを確保できるとはいえません。
実際Blasterワームにより、ファイアウォールなどを正しく設置せず、インターネットに接続しているモバイルPCで、WindowsのMS03-026のセキュリティホールを放置していたものがその標的となり、業務に支障をきたしたことは記憶に新しいことです。
そこで今回は、企業のネットワークを守るため、ゲートウェイなどの境界で防げないクライアントPCのセキュリティ対策に的を絞ってみたいと思います。@ITが独自に行ったクライアントPCに関するセキュリティ対策の読者調査の結果も踏まえながら、実際にセキュリティ対策の現場におられる3社の方々にそれぞれの立場から率直なご意見を伺いました。
 |
| 図1 企業や組織内のモバイルPCの利用度合い(@IT調査、複数回答、n=783) |
|
座談会参加者
|
|
寺田 和人氏
|
マイクロソフト株式会社 サーバープラットフォーム ビジネス本部 IWインフラストラクチャ製品グループ
マネージャ |
|
大瀧 潔氏
|
日本電気株式会社 ソフトウェア販売推進本部 グループマネージャー
|
|
吉田 一貫氏
|
株式会社シマンテック プロダクト・マーケティング部 リージョナル・プロダク
ト・マーケティング・マネージャ |
── 今回、この座談会にご出席いただいた日本電気株式会社の大瀧潔さんには、日本電気社内およびグループ企業のネットワークセキュリティ管理をクライアントセキュリティの管理者・ユーザーおよびそのユーザーとしての経験を基にセキュリティ製品やソリューションを提供する立場から、そしてマイクロソフト株式会社の寺田和人さんには、「System
Management Server(SMS)」開発担当という管理を推進するベンダの立場から、そして株式会社シマンテックの吉田一貫さんには、セキュリティ製品を提供するベンダ側の立場から、いまの企業において欠けているといわれているクライアントPCのセキュリティ対策に関してお話を伺いたいと思います。
 |
|
| クライアントセキュリティとは?! |
── まず最初に、クライアントセキュリティの定義として共通認識の確認をさせてください。
 |
| 「企業ユーザーの場合、社内ネットワークに接続されているためか“守られている”という意識が高いため、使用しているPCのセキュリティ対策が甘くなる傾向があるようです」と語るシマンテック吉田氏 |
吉田氏 サーバやゲートウェイ、クライアントといった、企業ネットワークを構成するそれぞれの要素でセキュリティ対策が必要です。その場合、デスクトップPC、モバイルPC問わず、クライアントとなるコンピュータに施されるべきセキュリティを「クライアントセキュリティ」と定義します。そして、その管理は「クライアントセキュリティ管理」ですね。
大瀧氏 私の所属する部門は、お客様にセキュリティ製品やソリューションを提供するのと同時に、NECとその関連・グループ企業に対してもウイルス対策とセキュリティ管理を施すシステム構築をお手伝いしています。その際、あまりクライアントセキュリティという単語は使っていないんですよね。
吉田氏 確かにクライアントセキュリティは、用語としてあまり浸透していないかもしれません。しかし「ウイルス対策ソフトとクライアントファイアウォールを組み合わせたもの」と説明すると分かっていただけると思います。
── 先日@ITが行った読者調査によれば、クライアントPCでのウイルス対策は9割以上でなされているようですが、クライアントファイアウォールは3割前後でしか導入されていないようです。
 |
| 図2 クライアントPCのセキュリティ対策実態(@IT調査) |
吉田氏 ADSLやFTTHといったブロードバンドを利用しているコンシューマユーザーの多くは、PCをダイレクトにインターネットに接続しているため「外部にさらされている」という意識が高いためか、ウイルス対策とパーソナルファイアウォールといった自己防衛が必須であるという認識が高く、どちらも併せて導入しているユーザーが多いようです。一方、企業ユーザーの場合、社内ネットワークに接続されているためか「守られている」という意識が高く、使用しているPCのセキュリティ対策が甘くなる傾向があるようです。大規模なネットワークに所属するクライアントPCほどクライアントファイアウォールの導入が少ない点もうなずけます。
寺田氏 企業内のエンドユーザーの場合、企業内のセキュリティポリシーにもセキュリティへの心構えが左右されると思います。IT管理部門によってあらゆるセキュリティがガイドライン化され、クライアントにも導入すべき対策ツールが指定されていれば、クライアントのセキュリティ対策は高まるのでは、と考えています。
大瀧氏 IT管理部門でも、企業内ネットワークにおけるクライアントセキュリティの重要性というものをいまひとつ実感されていないことがあるようです。そのため、サーバ、ゲートウェイレベルでのセキュリティほど、クライアントセキュリティに配慮されていないケースもあるようです。
|
|
| クライアントセキュリティの必要性 |
── ここに来てクライアントのセキュリティが重要視されてきたのはなぜでしょうか?
吉田氏 ユーザーの使用しているネットワークが非常に複雑化してきているということが挙げられるでしょう。単純に社内からインターネットに接続するだけでなく、イントラネットからエクストラネットへ接続したり、社外のモバイル環境からVPNを利用して接続したり、多種多様なネットワークの利用が行われることで、どこを境界線にしてネットワークを脅威から守るかという線引きが難しくなってきているのです。
── 1台1台のクライアントPCを保護することが一番効果の高い手段だから、ということでしょうか。
吉田氏 そうですね。また、脅威の質が変わってきているということもあります。メールによるウイルス感染などは対策ソフトで対応できますが、セキュリティホールなどで脆弱性が明らかになった特定のポートへの攻撃は、いつどのようになされているか分かりにくく、セキュリティホールの対策に時間が掛かります。それまでの被害を防ぐにはあらかじめ個々のクライアントPCでポートの管理がなされていることが大事でしょう。また、それらの問題を迅速に解決するためには、IT管理者による一元的なクライアントセキュリティ管理も重要になります。
 |
| 「Windows XP SP2は、コンシューマユーザーにもセキュリティの対処方法が分かりやすいインターフェイスや、Windows
Firewallといったツールも新しく搭載し、管理者が集中的にそれらを展開、管理する機能も搭載する予定です」と語るマイクロソフト寺田氏 |
寺田氏 セキュリティホールのパッチは提供されているのに、それを当てていないために被害が生じた、ということもあります。弊社としても、このことは重要視しており、セキュリティパッチを提供するだけではなく、Windows
XP SP2(本年度中の出荷予定)では、従来のサービスパックと性質が大きく異なる、ユーザーのセキュリティ確保をより簡便/強固にするものをご提供する予定です。また最近の傾向として、セキュリティホールが発見されたというアナウンスからウイルスが出てくるまでの時期が短くなっていることもあります。IT管理者がエンドユーザーに指示を出す前に被害が広がる、ということも珍しくはないでしょう。
大瀧氏 指示を出して、ユーザーがパッチを当てることは当然必要なことなのですが、アナウンスに時間が掛かることもありますし、パッチが適応されるまでのタイムラグも必ずあります。指示を出しても全然パッチを当ててくれなかったり、定義ファイルを更新してくれなかったりするユーザーもいるんですけどね(苦笑)。もちろんセキュリティ管理システムでは、だれが当てていないかということは把握しています。しかしながら、業務上すぐに対応できない、ということも多々あるでしょう。
── それを補うためにも、クライアントセキュリティの必要度が高まるということですね。
大瀧氏 持ち出して使用するノートPC、モバイルPCには必ずクライアントセキュリティを導入する必要があると思います。社内ネットワーク以外のネットワークに接続し、その状態で何らかのウイルスに感染し、それを社内に持ち込んでしまうことが多いように思います。
寺田氏 ノートPCによっては、持ち出してインターネットに接続して使って、いったんリジュームしてそのまま社内ネットワークに接続される、などということもあります。その結果、メモリに常駐したままのウイルスが社内ネットワークで拡散するというケースも多いようです。
吉田氏 来社したお客様が、持参のPCを社内のネットワークに接続した際に感染するという状況もあります。これは企業のセキュリティポリシーによることも多いでしょうが……。もちろん、自分の会社の社員がほかの企業にお邪魔したときの感染源になる、ということも十分考えられます。やはりモバイルPCにはクライアントセキュリティは必須だと思います。
寺田氏 モバイルPCの場合、常にネットワーク接続されているデスクトップPCと違い、移動時のようにネットワークから切り離されている場合もあるわけです。その際に、重要な自動アップデートを逃すこともありますよね。やはりその際に危険にさらされたポートを守るのがクライアントセキュリティということになると思います。
|
|
| 企業としてはどんな対応が必要なのか? |
── クライアントセキュリティを確保するため、企業はどのような対応をしていくべきでしょうか?
 |
| 「セキュリティ管理システムでは、だれが当てていないかということは把握しています。しかしながら、業務上すぐに対応できない、ということも多々あるでしょう」と語る日本電気大瀧氏 |
吉田氏 先ほども少し出ましたが、まずはセキュリティポリシーの確定を行うべきでしょう。例えば弊社では、最新の定義ファイルが適用されたウイルス対策ソフトウェアと、クライアントファイアウォールが稼働している状態でないクライアントPCはネットワークに接続してはいけないというポリシーがあります。セキュリティ設定をユーザーが変更することはできません。
寺田氏 弊社もそれとほぼ同じですが、パッチ情報もチェックしています。SMSがそういったチェックを行いますが、パッチが当たっていない場合は問題のあるポートを強制的に閉じたりなどする措置がとられることもあります。
── アンケート調査では、クライアントファイアウォールの有効性を認めているユーザーが約74%でしたが、あまり有効性を感じていないユーザーも多いようです。
 |
| 図3 クライアント・ファイアウォールの有効性(@IT調査、n=783) |
大瀧氏 小規模ネットワークの管理者だと、クライアントのセキュリティ管理に精通していないためクライアントセキュリティの導入を見送っているという管理者もいるようです。ベンダはツールだけを提供するだけではなく、クライアントセキュリティの知識と責任を持てるIT管理者を教育する必要があるでしょうね。
寺田氏 われわれもそれは意識しています。「パッチを提供するだけでその後何をしたらいいのか提示されない」といわれかねませんから。そのため、私たちはこの3月〜6月まで、「Secure
System Training Tour 2004」という無料トレーニングを全国で展開していきます。このトレーニングによって、マイクロソフトの提言する「多層防御」の浸透が期待されます。
吉田氏 弊社も、分かりやすく使いやすい製品を提供していくことを最大の目標としています。また有償ですが、トレーニングコースを設けています。ほかにも、ユーザーのセキュリティポリシーを引き上げるためのWebトレーニングコンテンツも提供しています。こちらのコンテンツは社員教育の一環として、導入する企業用にカスタマイズして提供することが可能です。
大瀧氏 ユーザーとしては、クライアントセキュリティの効用が理解できないため、導入コスト面とその成果という面で躊躇(ちゅうちょ)してしまうこともありますけどね。
吉田氏 クライアントセキュリティに限りませんが、企業内セキュリティの確保に必要なお金は「コスト」ではなく「必要な経営投資」ととらえていただきたいと思います。何かあったときの被害損害額を想定すれば、決して高い投資ではないと理解していただけると思います*1。そういったコスト的なことを含めて、「クライアントセキュリティを導入することでどれだけのリスク回避が見込めるのか?」ということを、きちんと提示していく必要もあるでしょうね。IT管理者とエンドユーザーどちらの意識も高めていかなければならないということです。
――今回、3名の方よりお話をお伺いして、従来のウイルス対策ソフトウェアとゲートウェイのファイアウォールだけではなく、クライアントセキュリティの必要性が認識できました。また現在、セキュリティ対策に関する製品やソリューションを導入したいが、上司や経営層への説得が難しいと悩まれている管理者の方も多いようですが、今回の座談会のご意見は、情報管理を推進するための提案にも活用いただけるのではないでしょうか。長時間にわたり、ご参加ありがとうございました。
|
![@IT[FYI]](/ad/adindex/image/fyi_logo_s.gif){kind=logo}
ICカードやUSBトークンなどの認証デバイスを利用したデスクトップセキュリティ
