第1回 企業におけるクライアントPC危機対策


上野宣
2004/8/28



 コンピュータのセキュリティは鎖に例えて話されることが多い。鎖を引きちぎろうとしたとき、鎖の一番弱い部分が切れることになる。つまり、鎖の強度は鎖の一番弱い部分の強度ということだ。これはコンピュータのセキュリティでも同様のことがいえる。攻撃者や侵入者は、組織内のネットワークやサーバ、人的要素、そしてクライアントPCなどのすべての要素の一番弱い部分を狙ってくる。

 セキュリティ対策というと、まずサーバやネットワークのセキュリティ対策を重要視してしまうかもしれないが、クライアントPCのセキュリティ対策も怠ってはならない。特に組織内でサーバに比べ台数も多いクライアントPCのセキュリティの要は何だろうか。連載を通して、クライアントPCのセキュリティに必要な対策を学んでいこう。

 クライアントセキュリティは最後の砦

 クライアントセキュリティはエンドポイントセキュリティともいわれる。組織内のネットワークを見渡したとき、その端点に位置するのがクライアントPCであるが故だ。冒頭でも述べたように、セキュリティは全体の要素を加味する必要がある。クライアントセキュリティ対策ももちろん怠ってはいけない。

 クライアントPCの挙動をすべて把握している組織の管理者はどれほどいるだろうか。往々にしてクライアントPCの管理はその利用者であるユーザーに任されがちである。Active Directoryのグループポリシーなどを適用して管理しているところもあるだろうが、クライアントPCへのソフトウェアのインストールやリムーバブルメディアの利用、インターネットへのアクセスなどはほとんどが管理対象外となっているのではないだろうか。

 インターネット側から侵入してくる脅威に対しては、万全のセキュリティ対策を誇れる組織も多いだろう。しかし、そのセキュリティ対策だけでは内部のクライアントPCから発生した脅威に対応することはできない。境界でのセキュリティ対策と、クライアントPCのセキュリティ対策は、異なったものが必要になってくる。

 ファイアウォールやIDS(侵入検知システム)、ゲートウェイでのウイルス対策、これらだけではクライアントPCから発生した脅威には対応することができない。例えば、ユーザーがウイルスに感染したノートPCを持ち込み、組織内のLANに接続してしまったとしたら、そこを発生源として組織内にウイルスが拡散してしまう。このような状況では、ファイアウォールやゲートウェイ上のウイルス対策などは役に立たない。クライアントPCを発生源とした脅威が発生すると、境界上でのセキュリティ対策では食い止めることができないのである。

 クライアントPC自身に脅威に対応できる機能がなければ、境界上のセキュリティ対策で食い止められない脅威に対して防御することができない。クライアントPC自身が最後の砦となって防御する必要があるのだ。

 クライアントPCを発生源とする脅威

 クライアントセキュリティは、クライアントPC自身を防御することが目的であるが、真の目的はクライアントPCを発生源とする脅威からネットワーク全体を防御することである。クライアントPCを発生源とする脅威とは次のようなことを指す。

  • 利用者自身がダウンロードしたスパイウェアやトロイの木馬などによる被害
  • SSL-VPNなどのリモートアクセスによる管理者が感知しづらい不正アクセスなどによる被害
  • ノートPCの移動などによって外部から持ち込まれたウイルスなどによる被害
  • リムーバブルメディアによって外部から持ち込まれたウイルスなどによる被害
 利用者自身のインターネットへのアクセスを開放している場合、WebサイトやP2Pネットワークへのアクセスによって、利用者自身も気が付かないうちにトロイの木馬をダウンロードしていたり、P2Pネットワークへ接続することで情報を流出させてしまったりすることがある。ファイアウォールなどでWebサイトやP2Pネットワークへのアクセスを監視し、抑制することは可能であるが、ダウンロードしたファイルに混入しているウイルスやスパイウェア、トロイの木馬などの発見は容易ではない。

 暗号化されていない通常のアクセスであれば、ある程度の脅威を境界上で除去することもできる。ところが、SSL通信やVPNなどによって暗号化された通信を経由してくる脅威に対しては、境界上のセキュリティ対策は無力になることが多い。

 クライアントPCを発生源とする脅威で、最も脅威となるのは外部からの脅威の持ち込みである。ノートPCやリムーバブルメディアの移動によって、組織外部のネットワークやコンピュータなどで活動していたウイルスなどがダイレクトに組織内部のネットワークに持ち込まれるのである。この持ち込みばかりは境界上のセキュリティ対策では対応のしようがない。組織内のファイアウォールを通過することもないので、クライアントPC自身に防御策がないことには回避することができない。

 ソフトやハードだけでは管理できないクライアントPC

 利用者自身が管理者ともいえるクライアントPCを(組織の管理者が)管理することは、サーバやネットワーク機器を管理すること以上に難しい。とにかく利用者の手元にあるクライアントPCは管理の目が行き届かないのだ。常時組織のネットワークに接続されているクライアントPCだけならばまだしも、出先から戻ってくるノートPCやリムーバブルメディアなどを管理することは容易ではない。

 これらの対策は、ソフトウェアやハードウェアによるものだけではなく、セキュリティポリシーの策定によってルールを作ることで対策を行うことも視野に入れなければならない。利用者自身にルールを守ってもらうことで、組織を守るのである。しかし、セキュリティポリシーを導入し、それを徹底させることはソフトウェアやハードウェアを導入すること以上に難しい。厳しいルールで縛ると、それを何とか抜けようとする利用者が出てくる。厳しすぎるルールは逆効果であることもしばしばである。

 それ故、セキュリティポリシーによるルールと、ソフトウェアなどによるセキュリティ対策の両方を的確に活用することが重要である。例えば、セキュリティポリシーによって利用者にセキュリティ対策を必ず実施しなければならないように義務付けることが望ましい。セキュリティポリシーで決められた内容がソフトウェアなどによるセキュリティ対策を伴わないと、管理者はクライアントPCを一切管理することができず、すべて利用者任せになってしまう。

1/2


Index
企業におけるクライアントPC危機対策

Page1
クライアントセキュリティは最後の砦
クライアントPCを発生源とする脅威
ソフトやハード
だけでは管理できないクライアントPC

  Page2
クライアントセキュリティ対策
- ウイルス対策ソフト
- パーソナルファイアウォール
- 統合管理
- 情報セキュリティポリシー
- 検疫ネットワーク


関連記事
クライアントセキュリティチャンネル
管理者のためのウイルス対策の基礎
Windows XP SP2のセキュリティ機能 (Windows Server Insider)
ノートPCからの情報漏えいを防ぐ便利グッズ (System Insider)

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間