〜 クライアントセキュリティの必要性を問う 〜 Symantec Client Security 2.0導入事例 「最大のメリットは省力化による管理コスト削減」 ――株式会社イマジンプラス

　イマジンプラスは、ITに特化した総合人材サービス企業だ。本社を東京都西新宿に、支社を大阪、名古屋、札幌に構えている。6月14日には、新たに横浜にも支社を展開した。同社では業務委託やスタッフ派遣などのサービスのほかに、各拠点にセミナールームを設置して研修サービスも行っている。常勤の社員が総計で100人未満の典型的な中小企業といえるだろう。

　人材サービス会社としてイマジンプラスが守るべき最大の資産にスタッフの個人情報がある。最近のウイルスの中には、感染したコンピュータ内の情報を外部へと流出させるような危険なものもある。うっかりこの手のウイルスに感染しようものなら、貴重な財産ともいえるスタッフの個人情報や取引先情報を漏えいしてしまうことにもなりかねない。全社的なウイルス対策が必須である。

　同社では、東京本社に勤務する情報セキュリティ担当者が全拠点のネットワークを管理している。社内のコンピュータはオフィスゾーンに約70台、派遣スタッフの研修用に30台が存在する。しかしながら、東京本社を除く各拠点にはネットワークに詳しい人物がいない。このため情報セキュリティ担当者は、「東京から半強制的にポリシーを流し込めるのはすばらしい」とSCSのよさを語る。

イマジンプラスの各支社にはセミナールームが設置されており、研修サービスを請け負っている

	SCS導入の決め手

イマジンプラス教育研修事業部係長チーフインストラクター／情報セキュリティ担当の池田憲一氏

　イマジンプラスがSCS 2.0の導入を決めた最大の理由は、管理にかかるコスト削減だ。同社でシステム管理を任されている教育研修事業部係長チーフインストラクター／情報セキュリティ担当の池田憲一氏は、「すべてのクライアントできちんと完全スキャンが行われているのか、確認するだけで大変でした」と語る。

　同社ではインターネット接続を開始した1990年代後半よりIIJのサービスを利用していた。電子メールなどのウイルススキャンもIIJがインターネット接続サービスとともに提供するウイルスチェックサービスをそのまま利用していた。だが、ウイルスチェックの段階で取りこぼしが何度か発生するという問題があった。

　そこで、およそ1年前に行われたシステム構成の変更にあわせ、ウイルスチェックの仕組みをメールホスティングベースのものから、各クライアントへのアンチウイルスソフトの導入へと切り替えた。アンチウイルスソフトには、シマンテックコンシューマ向け製品であるNorton AntiVirusとNorton Internet Securityを選択した。

　このシステムを運用して分かったことは、企業で使用するには、想定していた以上に手間やコストがかかることだった。例えば、Norton AntiVirusとNorton Internet Securityでは、スケジュール設定で自動完全スキャンを行うことが可能だが、運用状態によっては必ずしもスキャンが完了したかどうかは保障できない。多少知識のあるユーザーなら、PCの動作が重くなるスキャンをスキップさせてしまうこともできるだろう。

　また、ウイルス定義ファイルやスキャンエンジンを最新のものに更新するLiveUpdate機能にも不満な点があった。Blasterのような突発的に発生する大規模なウイルス被害が広がった際に、管理者側からいっせいにLiveUpdateを実施する手段がなかったのだ。池田氏は、これらの確認作業や、社員からの問い合わせへの対応で忙殺される日々が続いたのである。

　さらに、社内のPC多くに導入されていたのはNorton AntiVirusである。最近のワームの傾向として、感染した後、ユーザーの知らないうちにPC内の重要なファイルを勝手にメールの添付ファイルとして外部に送信してしまうものが登場している。Norton AntiVirusはメール経由などでやってくるウイルスやワームには有効だが、もしPCがそれらに感染してしまった場合、そのPCが2次感染源として動作してしまうことまではカバーできない。ここにもしクライアントファイアウォール機能がついていれば、アプリケーションごとの通信の可否を設定することにで、被害を未然に防ぐことが可能だ。

　「『これはかなわないぞ』と思ったとき、ちょうど見つけたのがSCSでした。各クライアントの集中管理が可能で、これまでの問題を一気に解決できると考えました。実はライセンス料金は、Norton AntiVirusとNorton Internet Securityを個々に導入するよりも規模的に若干割高なのですが、『かかる手間には代えられないぞ』ということになったのです。そもそも、私が管理作業にかける時間を時給換算すると、ものすごい管理コストが発生していることが分かっていましたから、トータルのコストはマイナスになったといえます」と池田氏は語る。

	SCS導入後のシステム構成

　イマジンプラスでは、1年前のシステム更新時に、インターネット接続プロバイダをIIJから有線ブロードネットワークスへと変更している。池田氏は、プロバイダ変更のメリットについて光ファイバ接続による帯域幅の向上と、管理の必要なルータを設置する必要がなく、すべてプロバイダ側のサービスでまかなえることを挙げている。全部で4つの拠点は、すべて有線ブロードネットワークを介してインターネットへと接続されており、拠点同士はVPNで接続される形となった。これにより、拠点間接続はあたかも1つの社内LANであるかのような感覚で利用できる。

　また同社では、VLANスイッチの導入で各拠点のネットワークを2つに分割している。これは、常駐スタッフが利用する社内LANとセミナールーム用のLANとを物理的に分割することで、互いのネットワークに影響が出ないようにするためだ。図1のように、スイッチによって分割された2つのLANは各拠点同士でリンクしている。具体的には、国内の4つの拠点にある社内LANはVPNですべて1つに接続されており、一方のセミナールーム用のLANもまた4つの拠点が1つのネットワークとして構成されている。ただし、セミナールーム用LANは講習会でNTTのフレッツ接続が必要となるため、同時にIIJ（IIJ4U）への接続も可能になっている。

イマジンプラスのネットワーク構成図 ※図は取材当時。現在は、横浜支社が加わって5拠点になっている

　2つに分割されたLANのうち、スタッフ用の社内LANの各クライアントパソコンにはSCS 2.0が導入された。この結果、各クライアントパソコンを中央から集中管理することが可能となった。東京本社の池田氏の端末からは、全社のクライアントパソコンのウイルス対策状況が一望できるようになっている。

　またLiveUpdate時には、いったん東京本社の管理端末に最新データを落とし、そこから社内LAN経由で（リモート拠点にはVPNを介して）各クライアントにデータを配布する。これにより、同じタイミングで各クライアントがいっせいにインターネットにアクセスしてLiveUpdateを行う現象を回避できるようになる。

LiveUpdateは、中央のマシンへ必要なデータをダウンロードし、そこから各クライアントへ配布する。なお、各クライアントが直接シマンテックのサイトからLiveUpdateを実行することも可能だ ※図は取材当時。現在は、横浜支社が加わって5拠点になっている

　イマジンプラスでは、セキュリティポリシーにより、ノートPCなど外部から持ち込まれるモバイル端末の社内ネットワークへの接続を禁止している。このため、基本的には外部からの脅威が直接持ち込まれることはない。まれにCD-Rなどの媒体で業務に関連した作品が持ち込まれることがあるが、仮にそのCD-Rの中にウイルスが潜んでいて検証用のPCが感染したとしても、SCS 2.0のファイアウォール機能により攻撃がブロックされるため、内部での感染被害を最小限度に抑えることが可能となる。

	利用者からの反応は？

　管理者の利便性向上から決意したSCS 2.0導入だが、利用者側の反応もいいようだ。SCS 2.0では、Norton Internet Securityに比べプログラムサイズが半分近くに削減されており、動作も軽くなるようにチューニングされている。池田氏は「社員からも、動作が軽くていいと評判です。実際、Norton AntiVirusよりも動作が軽いです。社員によっては、バックグラウンドでSCSが動作していることに気づいていないケースもあるようです」と述べている。また、SCS 2.0の新機能も好評だ。「Norton Internet Security 2003にはなかった、広告ブロックの機能も便利です」と同氏は説明する。

　いままで、トラブルや質問があるたびに対応に忙殺されていた池田氏だが、SCS 2.0の導入でかなりの手間が削減できたという。「本社の場合はまだ目の届く範囲ですから問題ありません。これが地方になると、音声チャットやpcAnywhereのようなソフトを使いながら操作手順を逐次説明していく必要があります。SCS 2.0の導入で、すべてこちらから半強制的に各種の操作や確認をすることが簡単になりました」と同氏は述べる。

　統合クライアントセキュリティソリューションを考えているユーザーに対して、池田氏は次のようにアドバイスする。「まず、人件費も含めた年間の運用コストを実際に計算してみましょう。導入時のコストだけでは見えないものが見えてきます。そして、短期的なコストと長期的なコストをよく天秤にかけてみましょう。数字をきちんと出すことで、予算獲得の説得材料ともなります。例えば、最近個人情報保護が問題になっていますが、イマジンプラスはそれらの情報を数多く抱えていますので、会社が抱える個人情報が流出したら大損害です。イマジンプラスは人材派遣業者でもありますから、それらの情報を数多く抱えています。以前ざっと算出したところ、その価値は30億円ほどとなりました。こうして数字化しないと、見えないものはあると思います」。

　クライアント・セキュリティ対策の基本は、すべてのクライアントを保護することにある。特にウイルスやワームなどで攻撃手段の多様化した現在では、すべてのクライアントに対策を施すことが被害を最小限に食い止める最良の手段である。そして次に、それらを集中管理することで、コストメリットが生まれてくる。特にSCS 2.0では、メールやファイルなどのアンチウイルス対策だけでなく、ファイアウォールも標準装備している。

　独自のセキュリティ・ポリシーを持つなど、今回取材させていただいたイマジンプラスはセキュリティ意識も高く、ゲートウェイにファイアウォールを設置する従来型の対策だけでなく、クライアント・ファイアウォールを統合したSCS 2.0を導入して多重に防壁を構えることで、さらに堅牢なシステムを構築している。これがひいては、コスト削減につながっているのだ。導入を考えているユーザー企業は、このあたりを踏まえたうえで導入計画を推進してほしい。