研鑽、交流、そして共育。全国に拡がるIBMユーザーのネットワーク line IBMユーザー研究会
fream01 ようこそ ゲスト さま separate fream2
 
  logomark IBMユーザー研究会TOP

midashiID登録がまだの方はこちらからblankup

ID登録のススメ
IBMユーザー研究会
入会申し込み
お問い合わせ
 
   
 
 
Security
Analytics
Commerce
Cloud
Social
Systems
Watson
Topics
 <業種別>
金 融
保 険
製 造
流 通
公共・通信
 
 <IBMユーザー研究会主催>
Webセミナー blankup
 <IBM主催>
IBM Webセミナー blankup
OnDemandセミナー blankup
IBM YouTubeチャネルblankup
日本IBMホームページ
Easy Web Browsingヘルプ 拡大読み上げ
当サイトのURLは予告なく変更・削除されることがございますことを予めご了承ください。
7
 
Social
エンドポイント管理の動向(#1)
2013年10月01日掲載
日本アイ・ビー・エム株式会社
ソフトウェア開発研究所 大門 昭
エンドポイントとは
「エンドポイント」とは、末端、あるいは突き当たりの点といった意味の英単語endpointから来ており、ITの世界では、通信回線やネットワークの末端に接続されたパソコンやモバイル機器といった人間が直接操作する情報機器を指す言葉として使われることも、さらには、Internet of Things(モノのインターネット)で主役となるセンサー機器など、ネットワークに繋がって情報を送受信できる機器全般を指す言葉として使われることもあります。
ここでは、ユーザー研究会の方が管理することが多いと思われる、一般的なパソコンと、モバイル機器について2回に分けて述べたいと思います。 第一回はパソコンの管理について、セキュリティー管理と資産管理の観点から述べてみたいと思います。
セキュリティー管理
おことわり
企業の情報セキュリティー管理はパソコンのセキュリティー対策だけではありません。企業のWebサイトの管理、サーバールームへの入室の管理、外部に情報処理を委託する際の機密保持など、広範囲にわたりますが、ここでは、ここでは、エンドポイント管理のセキュリティーの側面という観点から、一般的なパソコンに関する項目を取り上げ、企業の情報セキュリティー全般、あるいは情報セキュリティ・マネジメント・システムについてはここでは触れません。
パソコンのセキュリティーの管理には、パッチ管理、セキュリティー設定の管理、マルウェア対策、情報漏洩対策等、さまざまな観点があります。
パッチ管理
パソコンのセキュリティー管理において、最も基本となるのがパッチ管理です。
コンピューターには、オペレーティング・システムだけでなく、さまざまなソフトウェアがインストールされていますが、ソフトウェアには脆弱性が発見されることが多くなっています。脆弱性には、ネットワークに接続しているだけで他のコンピューターからの攻撃で管理者権限を取得されてしまうといったオペレーティング・システム・レベルのものもあれば、ある種類のファイルを開くと、そのファイルに含まれている悪意のあるコードが実行されるといったものもあります。攻撃方法としては、メールの添付ファイルとWebサイトが多いようです。
独立行政法人 情報処理推進機構(IPA: Information-technology Promotion Agency, Japan、以下ではIPAを表記します)の「2013年版 10大脅威 身近に忍び寄る脅威」[1]では、クライアントソフトの脆弱性を突いた攻撃を脅威の第一位に選んでいます。

2011年に、国内の大手メーカや衆議院・参議院の職員宛に添付ファイル付きのメールを送り付けてウィルスに感染させ、情報を盗み出そうとするといった事件が起きたことを記憶されている方もいらっしゃるでしょう。IBM®の2013 年上半期 Tokyo SOC 情報分析レポート[2]によると、2012 年下半期のメール攻撃は、2011年下半期と比較して約2.5倍強、2012 年上半期と比較して約1.4 倍と増加していましたが、2013年上半期には、標的型メール攻撃検知件数は2012年下半期と比較して約4割に減少しています。同レポートによると、「Tokyo SOCで標的型メール攻撃を解析した事例のほとんどで暗号化された添付ファイルが使われていました。標的型メール攻撃は2012年下半期と比較して約4割に減少していますが、これは攻撃そのものが減少したわけではなく、暗号化や難読化などのセキュリティー機器の検知を回避する手法による見えない化が進んだためと考えられます。」ということです。
最近は、特定の会社や官公庁をターゲットにして、業務に関係のある件名や送信者を装ってメールを送付する標的型と呼ばれる攻撃が増えており、同レポートによると「今期も最も多く攻撃のターゲットとなったのは、以前と同じく官公庁・地方自治体/独立行政法人などです。」ということです。

お客様とメールをやりとりする際にファイルを添付することは一般的に行われますので、メールの添付ファイルをすべて禁止することは現実的ではなく、少なくとも業務で使用されるタイプの添付ファイルについては、添付ファイルで脆弱性を悪用されないように対策を取っておくことが必要です。業務で使用することがないタイプの添付ファイルについては、開かないように社員教育をする、会社のメールサーバーで削除するという対策も考えられます。ただし、会社のメールサーバーで特定のタイプの添付ファイルを削除するようにしていても、会社のパソコンで会社以外のメール・サーバーからメールを受信していたりすると、その添付ファイルによって感染することもあり得ますので、メールサーバーで削除したから対策不要とは言えません。業務で使用することが無いとわかっているものについては、脆弱性を利用されることが無いように、対応するアプリケーションのインストールを禁止する、という対策も考えられます。

Webに関しては、かつてはメールで偽のWebサイトに誘導する方法が多かったのですが、最近は企業等の本当のサイトを改竄する攻撃が増えています。IPAの2013年6月の呼びかけが「ウェブサイトが改ざんされないように対策を!」[3]、7月の呼びかけが「止まらないウェブ改ざん!」[4] となっていることからも、サイトの改竄の広がりがうかがえるでしょう。
Webサイトの改竄を利用した攻撃では、目的とするWebサイトの本当のURLで目的とする企業のWebサイトにアクセスして普通に使っていると知らない間にマルウェアに感染してしまうという攻撃が主流ですが、「知らない間に」感染させる手段として、Windows[5]、Oracle JavaTM Runtime Environment (JRE)[6]、Adobe Reader[7]等のオペレーティング・システムあるいはパソコンにインストールされているアプリケーションの脆弱性を利用しているので、Webサイトの改竄を利用した攻撃でマルウェアに感染することを防止するためにも脆弱性への対応は重要です。

通常、企業内のネットワークとインターネットが直接接続していることはなく、社内からインターネットにアクセスできるとしても、インターネットとイントラネットの間にはファイアウォールが置かれています。ファイアウォールによって、インターネットから直接社内のコンピューターを攻撃することは阻止されますので、社内のコンピューターがネットワーク経由で脆弱性を悪用した攻撃を受けることは無いと思われるかもしれません。しかし、Webサイトや掲示板等に置いたりメールで送付したりして不注意なユーザーにファイルを開かせるように誘導してうっかり開いてしまったパソコンに感染し、感染後は感染したパソコンから他のパソコンにネットワーク経由で感染を広げるといったマルウェアもありましたので、社内であっても、マルウェアに感染したパソコンが一台でもあれば、ネットワーク経由の攻撃が無いとは限りません。油断は禁物です。

また、Windows以外のオペレーティング・システムを使用している場合はマルウェアに感染しにくいと考えられた時期もありましたが、Javaの脆弱性を悪用したプラットフォームに依存しない攻撃の例[8]もあり、使用しているオペレーティング・システムにかかわらず、脆弱性の対策は必要です。

どの型のものであれ、ソフトウェアの脆弱性を狙ってくる攻撃への対策としては、判明している脆弱性については、可能な限り速やかに、漏れなくパッチを適用しておくことが、セキュリティー管理の基本になります。
しかし、IPAの2011年度 情報セキュリティ事象被害状況調査の報告書[9]によると、『クライアント(パソコン)に対するパッチ適用の状況は、「常に適用し、適用状況も把握している」が33.9%と最も多い。次いで、「常に適用する方針・設定だが、実際の適用状況は不明」(26.7%)である。』ということで、常に適用するという企業は約60%にとどまっています。また、同報告書によれば、『2008年から上昇していた「常に適用し、適用状況も把握している」が2011年度では2010年度から3.4ポイントと若干ではあるが低下している。』ということで、2007年から2011年で、クライアント・コンピューターに対してパッチを常に適用し、適用状況も把握しているという企業の割合に大きな改善は見られません。
パッチを適用しない理由としては、パッチを適用したら業務アプリケーションが動かなくなったといった副作用への懸念や、パッチの評価や適用にコストがかかるといった理由があるようですが、脆弱性を利用した攻撃を受けてマルウェアに感染し、業務の停止、取引先の機密情報の漏洩、納品物へのマルウェアの感染、といった事態が起きると、ビジネス上、大きな損失を被ることは避けられません。

パッチの副作用が無いことを確認するためには、パッチ適用後の業務アプリケーションの稼働確認といった検証作業が必要となりますが、検証に時間がかかってパッチの適用が遅れると、その間に感染が発生するといったことにもなりかねません。重要な業務アプリケーションについては、検証作業の手順の明確化、自動化をすすめておくことが望まれます。
どうしてもパッチの評価に時間がかかってしまう場合、社内に設置、あるいは社内だけで使用するビジネス的に重要なコンピューターについては、「バーチャル・パッチ」[10]によって脆弱性から保護しておくことも必要かもしれません。バーチャル・パッチは、対象となるソフトウェアとは独立して動作しますので、ソフトウェアにパッチが提供されていない時点での攻撃、ゼロデイ攻撃からもコンピューターを保護することができます。
ただし、バーチャル・パッチは通常、ネットワーク型IDS(Intrusion Detection System、侵入検知システム)/IPS(Intrusion Prevention System、侵入防止システム)の形態で提供され、バーチャル・パッチを通過する通信から脅威を取り除くことで保護を提供しますので、社外でインターネットに接続して使用するコンピューターを保護することはできません。

パッチの副作用が無いことが確認できて適用を決定した段階では、パッチの適用対象となるコンピューターを特定したり、パッチのインストール用のスクリプト等を作成したりといったパッチ配布の準備作業に時間がかかると、脆弱性を悪用される可能性のある期間が長くなってしまいますので、適用対象を特定し、パッチのインストールまで自動で行うことができるツールを使用することはリスクの低減に役立ちます。

パッチ適用自動化のためのツールはさまざまなものが提供されていますが、導入する際には、保護対象や管理コストといった点で、要件を満たすかどうかを検討することが必要です。パッチを適用する対象は、通常Windowsのようなオペレーティング・システムだけではなく、Office、Java、Adobe Reader等の複数のベンダーのソフトウェアも対象になりますので、IT管理者の数や教育といった面を考えると、できるかぎり1つのツールで社内使用しているさまざまなソフトウェアのパッチを適用できることが望ましいでしょうし、社内でWindowsだけではなくMacやLinuxのパソコンを使用している場合も1つのツールで管理できることが望ましいでしょう。
また、企業のIT管理体制にもよりますが、パソコンだけでなく、サーバーも一括して管理できるものの方が良いかもしれません。

最後に、すでにご存じの方が殆どだと思いますが、Windows XPは、2014 年 4 月 9 日 で製品サポートが終了します。この後は脆弱性が発見されてもパッチは提供されなくなりますので、サポート終了後もWindows XPを使っていると、脆弱性が発見された場合には攻撃され放題となると予想されます。まだWindows XPを使用している場合は、新しいOSに移行するということも脆弱性対策として重要です。
何らかの理由でWindows XPから移行できないパソコンが存在する場合には、移行する手段が本当に無いのか早急に検討すると同時に、バーチャル・パッチといった、OSの外での脆弱性対策の手段を検討しておく必要があります。
セキュリティー設定の管理
パッチ管理はセキュリティーの基本ですが、パッチ管理だけを行えばセキュリティー対策が万全になる訳ではありません。
極端な例として、管理者のアカウントにパスワードを設定していない、あるいはパスワードが「Password」であるといった場合には、すべての脆弱性に対して対策をとっていたとしても、誰でも管理者のアカウントを使って情報を盗み出したりマルウェアをインストールしたりできてしまいます。
この例のようなことが起こらないようにするためには、アカウントにパスワードを設定すること、パスワードの文字数と文字の種類といった設定のルールを定義し、徹底することが必要です。

セキュリティーの設定のルールを文字で書いていると、適用する度に人手でコンピューターに入力する必要があり、煩わしいばかりでなくミスを犯す可能性もありますし、人によって書き方が違うと、2つのルールのどこが同じでどこが違うのかを見るのは簡単ではありません。米国では、システムのセキュリティーを維持する自動化、標準化された手法を提供するためにNIST(National Institute of Standards and Technology)によってSCAP[11](「エスキャップ」と発音されます)が定義されました。
米国政府のセキュリティーのチェックリストは、National Checklist Program Repository[12]で公開されていますので、米国連邦機関の調達に応札する場合に限らず、誰でもチェックリストを参照することができますが、このリポジトリに格納されるチェックリストの多くはSCAPで定義されるようになってきています。
SCAPではセキュリティー設定の識別にCCE(Common Configuration Enumeration)[13]を用いており、Windows関係の設定項目の多くのCCEには、グループポリシーで定義できるものについてはポリシーのどこで定義するかといった情報も記載されています。このため、WindowsクライアントをActive Directoryで管理されていて、SCAPで書かれたチェックリストをベースに企業のセキュリティー設定を定めた場合はWindowsのグループポリシーでかなりの設定を強制することが可能でしょう。一方、Active Directoryを使用していない場合、Windows以外のオペレーティング・システムを使用している場合には、設定のチェックと必要な設定の強制を行えるツールを導入して自動化を行うことが望ましいでしょう。
自社のセキュリティー設定を定める際には、単に既存のチェックリストを取り入れるのではなく、自社の要件を考慮して決める必要があります。しかしチェックリストを全くの白紙から作成するのは効率的ではありませんので、これからチェックリストを作成していく場合には、チェックリストを作成する機能があるというだけではなく、広く採用されている既存のチェックリストが製品に含まれているか、SCAPで書かれたチェックリストをインポートできる機能があって、既存のチェックリストをベースに自社用のチェックリストを定義できるツールを選択することも検討に値するでしょう。
 
マルウェア対策
コンピューターのセキュリティーといえば、ウィルス対策ソフトウェアをインストールすることを意味した時代もありました。また、「ウィルス」への対策ということで「ワクチンソフト」と呼ばれていたこともありましたが、最近では「ウィルス対策ソフト」、あるいはファイアウォール機能なども統合したソフトウェアについては「セキュリティー・ソフト」と呼ばれることが多いようです。厳密には「ウィルス」はマルウェアの一種であって、ウィルスだけに対応すれば良いわけではなく、通常ウィルス対策ソフトといわれるソフトウェアは、ウィルス以外のマルウェアにも対応していますが、マルウェア対策ソフトという言葉はあまり見かけません。
今日では、脆弱性の対策が重要になっていますが、マルウェアは脆弱性を利用したものとは限らず、メールに添付する、有用なフリーソフトに見せかけるといった方法でユーザーにインストールさせるものもあり、ウィルス対策ソフトは不要とは言えません。
ウィルス対策ソフト、あるいはセキュリティー・ソフトは、マルウェアのパターンと対処法を定義した定義ファイルの情報に基づいて動作します。新しいマルウェアが発見された場合、セキュリティー・ソフトのベンダーが定義ファイルを更新しますが、セキュリティー・ソフトが更新された定義ファイルを受け取って初めて新しいマルウェアに対応できるようになりますので、セキュリティー・ソフトをインストールしてあるだけでは殆ど意味が無く、定義ファイルを最新に保つことが重要です。
この動作原理から、脆弱性の対策に比べると、ウィルス対策ソフトは後手に回りがちです。住宅の防犯に例えてみると、脆弱性はドアや窓の鍵をかけていなかったり、鍵が壊れていたりという状況で、脆弱性の対策は鍵をかけたり、鍵を修理したりすることです。一方、ウィルス対策ソフトは、町内で不審な人物を見かけたら手配書を張り出すものに近いといえるでしょう。脆弱性は対策が完了すれば、その脆弱性を利用しようとした、つまり鍵がかかっていないか鍵が壊れていたドアから入ろうと思っていた不審者は誰であってもそのドアからは入れない、すなわち脆弱性を利用することはできません。これに対して手配書は不審者を見かけてから作成しますので、不審者を特定するまで作成できず、不審者が変装したりすると手配書を修正する必要があります。マルウェアの場合も、不審者にあたるマルウェアを発見し、その検体を入手して対処方法を開発してから手配書にあたる定義ファイルを更新しますので、マルウェアが出現した時点では手配書はない、つまり定義ファイルに対策が含まれていません。また、マルウェアの開発者がコードを少し変えた場合、つまり不審者が変装した場合には、変装後の姿をみかけて手配書を更新するまでは対策ができないように、変更後のマルウェアの検体を入手して対策を開発するまではそのマルウェアに対応できません。

しかし、対策が遅いからといってマルウェア対策を行わないと、かつて出回っていた有用なソフトに見せかけたマルウェアを友人からもらった等といった経路で、よく知られたマルウェアに感染してしまう可能性もあります。
2012年に騒がれたパソコン遠隔操作事件では、マルウェアを混入したフリーソフトを公開し、これをダウンロードするように誘導することで感染させたといわれており、脆弱性を使ったものではなかったようですので、脆弱性の対策を行っていても防げなかったと考えられます。事件で利用されたマルウェアは、現在ではセキュリティー・ソフトで検出可能となっていますので、セキュリティー・ソフトを利用していれば、全く同一のマルウェアで遠隔操作しようとした場合には検知することが可能でしょう。

有効なセキュリティー・ソフトで有り続けるためには、新しいマルウェアの情報を収集し、対処法を作成して定義ファイルを更新したり、不正な情報収集に使われているIPアドレスの情報を収集したりといった日常的な作業が必要となるため、エンドポイント管理ツールを提供するベンダーの数に比べると、セキュリティー・ソフトを提供するベンダーの数は少ないようで、セキュリティー・ソフトを提供するベンダーがエンドポイント管理ツールを提供する場合もありますが、特定の、あるいはいくつかのセキュリティー・ソフトを提供するベンダーの製品と連携して動作するエンドポイント管理ツールも少なくありません。
エンドポイント管理ツールでセキュリティー・ソフトを管理する場合には、セキュリティー・ソフトがインストールされているか、セキュリティー・ソフトのバージョンは何か、稼働しているか、定義ファイルが新しいか、定義ファイルの自動更新を行う設定になっているかといった点をチェックできるものが望ましいでしょう。
セキュリティー・ソフトを選択する際には、信頼できるベンダーの製品を選択することも重要です。まず、定義ファイルを更新し続けることができる会社であることが必要です。さらに、セキュリティー・ソフトもソフトウェアであり、それ自体に脆弱性が発見されることもあります。もし脆弱性が発見された場合に速やかに対策を講じないようなベンダーがあれば、その製品は避けるべきでしょう。

また、セキュリティー・ソフトに偽装したマルウェアが作成される懸念もあります。セキュリティー・ソフトは、ウィルス対策のために実行するファイル、開こうとするファイルをチェックし、ファイアウォール機能を提供している場合には通信しようとする先やポート等もチェックします。「セキュリティー・ソフト」であれば複数のドライバーをインストールしていても、Windowsのサービスが自動起動になっていても不審に思うことはないでしょう。セキュリティー・ソフトとして定評を得るための労力は決して小さいものではないため可能性は低いように思われますが、セキュリティー・ソフトとして動作するマルウェアを開発し、これを無料のセキュリティー・ソフトとして配布し、多数のコンピューターにインストールされたところで一斉に乗っ取るといった可能性がないとは言い切れません。(以前サイバーセキュリティー事業に携わっていたという作家の小説 [14]にこのような事態が書かれています。)心配し過ぎという意見もあるかもしれませんが、この観点からも信頼できるベンダーの製品を選択することが重要です。

別の注意点として、「ウィルスが発見されました。無料版では完全に駆除できないので有料版を購入してください。」といった不安を煽るメッセージを表示して金をだまし取ろうとする詐欺ソフトもあります。このような詐欺ソフトには、感染したコンピューターのユーザーから金をだまし取るために、通常の作業ができないように警告を連続して表示したり、バックアップを妨害したりするものもあるようです。詐欺ソフトはマルウェアなので、直ちに駆除するようにしましょう。

マルウェアによる攻撃に対しては、脆弱性の対策、セキュリティーの設定とセキュリティー・ソフトの使用はもちろん必要ですが、信頼できることを確認できる場合を除いてはメールに添付されたファイルやダウンロードサイトのファイルをダウンロードしたり開いたりしない、リンクをクリックする前にURLのサイトやファイルの拡張子をチェックするといったユーザーの心がけによって回避できる攻撃もあります。もちろん、うっかり添付ファイルを開いてしまったりする可能性もあり、短縮URLでは実際にはどこにリンクしているかわからないといったこともありますので、すべての攻撃を回避できるわけではありませんが、被害を減らすことができる可能性がありますので、社員のセキュリティー教育もマルウェア対策の一つとして考慮すべきでしょう。
盗難・紛失対策
コンピューターの資産としての管理とも関連しますが、コンピューターの盗難や紛失についても考えておく必要があります。
この際、何を守るかによって対策が異なります。
例えば、資産としてのコンピューターを守るためには、セキュリティ・ワイヤーで固定して持ち去る手間を増やすといった物理的な対策と、盗まれたらコンピューターを使用不能にする(例[15]、[16])ことで、転売目的でコンピューターを盗もうと思わせないようにするものがあります。
一方、コンピューターそのものではなく、コンピューターに入っている情報を保護したい、という場合には、セキュリティ・ワイヤーで固定するといった物理的な対策はデータの保護についても有効ですが、盗まれてしまった、どこかに置き忘れてしまったといった場合には、コンピューターを使用できなくするだけではなく、データにアクセスできないようにするか、データを解読不能にする、または消去することが必要です。3GやPHS等の回線を使用したデータ通信機能を内蔵したコンピューターに外部からデータ消去指令を送って、暗号化キーを消去する、あるいはデータ消去処理を実行するソリューションはいくつかのベンダーから提供されています。台数によっては、特注で遠隔データ消去機能を提供しているPCベンダーもあるようです。
最近はコンピューターを利用する際にはインターネットに接続して使用するのが一般的なので、コンピューターの転売を妨害するという目的では、有線、無線のネットワークを利用して使用不能化の指示を送信するという方策で効果が期待できます。これに対してデータを目的としてパソコンを盗んだ場合、置き忘れたパソコンを発見してデータを取り出してみようとしている場合には、パソコンからデータを取りだそうとしている間に有線、無線のネットワークに接続するとは限りません。データを守るという観点では3GやPHSの回線を使用して消去等の指令を送ることができるものが有効でしょう。通信機能には電力が必要なので、消去指令を送ったが、パソコンのバッテリーを取り外されてしまったために消去指令が受信されないといったことを避けるという点では最近の多くのUltrabookと言われるパソコンのようにバッテリーの取り外しが難しいものの方が、消去指令が届く可能性は高いでしょう。
データを目的としてパソコンを盗む場合、パソコンを盗んだらすぐにハードディスクやSSDを取り外す、あるいはハードディスクやSSDだけ盗むといったことも考えられます。これも、やはりUltrabookと言われるパソコンのように内蔵するハードディスクやSSDの取り外しに手間がかかるものであればハードディスクやSSDだけ盗まれる可能性は低くなりますし、空港等でパソコンを分解していれば人目につきますので、盗難、紛失にすぐに気がつけば、取り外される前に消去指令が届く可能性が高くなります。
ただし、ハードディスクやSSDはひとたび本体から取り外されてしまうと、パソコン本体とは無関係な単なる記憶媒体となってしまいますので、パソコン自体にどのような機能が備わっていても、データを守るものはディスクのパスワードと、ディスクあるいはファイルの暗号化だけになります。パソコンのデータを守るという観点では、パソコン本体の対策をとったとしても、ハードディスクやSSDを暗号化しておくことが必要になります。
取り外しへの対策として興味深いのが、株式会社 東芝のWipe Technology HDD [17,18]です。Wipe Technology HDDは、ハードウェア暗号化機能を持つだけでなく、HDDがHDDを搭載する機器に対して認証を実施して搭載機器を判定し、想定外の機器に接続された場合はHDD自身がディスク上に記録された「暗号鍵」を自動で消去してデータを解読不能にするというものです。HDDをパソコンから取り外すことは可能で、元のパソコンに戻せばデータはそのままですが、別のパソコンに接続してデータを取りだそうとした場合には暗号鍵が消去されます。 このWipe Technology HDDと組み合わせるとパソコンの利用を制限する仕組みがデータを守る仕組みになります。
研究所等の社内で使用するパソコン内の機密性の高いデータの保護が必要な場合には、このWipe Technology HDDをTOSHIBA Smart Client Manager[19]のセキュリティー管理機能を組み合わせて利用することも有効でしょう。セキュリティー管理では、起動制御という機能が提供されており、パソコンの起動時、あるいは休止状態からの復帰時には、BIOSが起動制御サーバーに起動の許可/禁止を問い合わせ、起動許可の回答があった場合にだけ起動するという制御が可能です。盗難・紛失の際に外部から起動禁止やデータ消去といった指示を送るという一般的な解決策とは異なり、起動する度に盗難・紛失状態でないということを確認するため、たとえ電波が遮断され外部から消去等の指示を受信できない場所に持っていかれたとしても情報が抜き出されるのを防ぐことができます。起動時に加えて、スリープからの復帰時やロック解除時にも起動制御サーバーに起動が許可された状態であるかどうかを問い合わせ、起動可の回答が無いまま所定の回数ログインを試みると自動的にパソコンをシャットダウンさせること、暗号鍵を消去させることも可能です。
情報漏洩対策
特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA : Japan Network Security Association、以下JNSAと表記します)は、情報セキュリティインシデントに関する調査報告書を発行しています[20,21,22]。これは、新聞やインターネットニュースなどで報道された個人情報漏えいインシデントの情報を集計、分析したものです。2010年、2011年、2012年上半期の情報セキュリティインシデントに関する調査報告書によりますと、以下のように、毎年順位は変わっていますが、要因の上位5つは同じです。
2010年は、管理ミス、誤操作、紛失・置き忘れ、盗難、不正な情報持ち出し[20]
2011年は、誤操作、管理ミス、紛失・置き忘れ、盗難、不正な情報持ち出し[21]
2012年上半期は、管理ミス、誤操作、紛失・置き忘れ、盗難、不正な情報持ち出し[22]
JNSAの分類[21付録]では、管理ミスの例としては、「引っ越し後に個人情報の行方がわからなくなった。個人情報の受け渡し確認が不十分で、受け取ったはずの個人情報が紛失した、情報の公開、管理ルールが明確化されておらず、誤って開示してしまった。」といったものがあり、誤操作の例としては、「あて先間違いによって、電子メール・FAX・郵便のご送信が発生した。」、不正な情報持ち出しの例としては、「社員・派遣社員・外部委託業者、出入り業者、元社員などが、顧客先、自宅などで使用するために情報を持ち出して、持ち出し先から漏えいした。」といったものがあげられています。

電子メールの場合、本文や添付ファイルに機密情報が含まれていないか検査し、該当する場合は予め指定しておいた方法での転送をブロックするといったツールもあります。このようなツールを使えば、例えば「重要機密情報」と書かれている情報は社外へのメールでの送信は禁止といった制限を設定することも可能ですが、このファイルはA社には送って良い、このファイルはB社とC社には送って良いといった個々の情報について配布可能な宛先を自動的に検出することはほぼ不可能と考えられますので、ツールに頼るだけではなく、社員向けセキュリティー教育の他、社外へのFAXやメール送信の際は第三者による確認を必須とするプロセスを策定する、電子メールの場合は、それぞれの取引先と取引先毎に異なるパスワードを、予め電子メール以外の方法で交換しておき、交換しておいたパスワードを用いてすべての情報を常に暗号化しておくといった対策が考えられます。

紛失・置き忘れ、盗難による情報漏洩の究極の対策は、個人情報や機密情報の社外への持ち出しを禁止することです。しかし、仕事を家に持って帰ったり、ホームオフィスで勤務したり、お客様への説明用に提案書のソフトコピーを持参したりといった持ち出しが必要になる状況は増加しており、今後も増加すると予想されますので、持ち出す情報、資産は限定すること、コンピューターを持ち出す際には、前節で述べたような盗難・紛失対策をとる、といったことが必要でしょう。
資産としての管理
会社で購入したコンピューターは会社の資産になりますので、その他の資産と同様に管理が必要になります。コンピューターをリースあるいはレンタルしている場合には、リースやレンタルの契約期間、契約更新期限等とあわせて管理することが必要になります。
かつてはパソコンも、コピー機、電話、家具等と同様に、人手で管理していましたが、パソコンは、メモリーを増設したり、ソフトウェアを追加でインストールしたりすることがあり、人手で台帳に正確な情報を記録し続けることは、非常に煩雑で時間のかかる作業になります。ある程度以上の台数がある企業で、IT資産管理の一環としてパソコンを管理するには、ツールやサービスを使って自動化することが効率的でしょう。

IT資産管理のツールやサービスでは、「エージェント」と呼ばれるソフトウェアを導入して、各パソコンの情報を収集してサーバーで集約、管理する「エージェント型」と、エージェントを導入しないでサーバー側から管理を行う「エージェントレス型」のものがあります。
一般に、エージェント型は、収集できる情報が多い、情報収集だけでなくセキュリティーの設定もできるなど機能が豊富で、一度エージェントをインストールすれば、外部からのパソコンへのアクセスを許可することなく情報収集が可能といったメリットがある一方、管理対象のすべてのパソコンにエージェントをインストールするという手間が発生します。エージェントレス型は、エージェントのインストールが必要ないため簡単に利用を開始できますが、管理対象となるパソコンで管理者権限を持つユーザーIDを管理サーバー上に登録する必要がある、外部からアクセスして調査するためにファイアウォールやセキュリティー設定で外部からのアクセスが制限されていると情報を収集できないことがある、収集できる情報が限られる場合がある、といった点を考慮する必要があります。
IT資産管理の目的とコンピューターを使用する環境によって、エージェント型で提供される機能が必要か、エージェントレス型の情報収集のしやすさが重要かを判断することになるでしょう。

収集する主な情報としては、パソコンのメーカ、シリアル番号、MACアドレス、CPU、メモリー、BIOSバージョン、ハードディスク容量といったハードウェアそのものの情報、ハードディスクの空き容量といった使用状況に関する情報、インストールされているソフトウェアのリストといった情報があります。
IT資産管理ではパソコンを誰が使っているのか、といった管理も行います。レンタルやリースの機器では、契約期間も管理しますが、通常レンタルやリースの情報は個々のパソコンには記録されていませんのでツールで収集するのではなく、サーバー側で管理者が契約とパソコンを対応づけることによって管理します。
パソコンの最新の正しい情報を把握することで、例えばWindows7に移行したいが、実用的な性能が得られないために買い換える必要があるパソコンは何台あるかを知ることができますし、ハードディスクの空き容量やメモリーが増設されているかといった状況から、次期に調達するパソコンのスペックをどの程度にすれば良いかを検討するための情報も得られます。

エージェント型のツールでは、エージェントが導入されていないパソコンの情報は収集できません。そのため、エージェントをどのように漏れなくインストールするかという点が重要になります。本来存在すべきではありませんが、誰が管理しているかわからないパソコンでは、誰もエージェントをインストールしようとしないでしょうし、使用頻度が低いパソコンでは、次に使う際にインストールしようと思ってそれっきりということがあるかもしれません。さらには、勝手にパソコンを購入していたり、ネットワークプリンターやNASを設置していたりする部門があるかもしれません。
エージェント型のツールでも、エージェントをインストールしたパソコンの情報を収集するだけではなく、社内ネットワークに接続しているパソコンやプリンター等を自動検出できること、エージェントがインストールされていないパソコンについては一覧を表示できること、できればサーバーからエージェントをインストールできる機能を持つことが望ましいでしょう。

また、企業でどのように購買契約の管理を行っているかによりますが、IT資産の購入の要求、発注、納品検査といった購買のプロセスについてもIT資産管理の一環ですので、購買システムと一体化して検品したパソコンについては自動的に資産として登録され、情報収集の結果と照合できる、あるいは、既存の購買管理システムと簡単に連携できるということも望まれるかもしれません。

余談ですが、筆者の経験では、棚卸しの際に一番困るのは、誰かがキャビネットにしまいこんでいるパソコンです。起動されることもなく、バッテリーも放電してしまった状態で、電波を遮断するキャビネットにしまわれていたりすると、キャビネットを開けてパソコンがはいっていないかどうかチェックする以外には見つける手段がありません。この状況を解決できるツールはまだ存在しないようですが、IT資産管理ツールが導入されていれば、最後にどのIPアドレス、ホスト名使われていたか、あるいは最後にログインしていたのは誰かということはわかるので、誰に聞けばよいか、という糸口にはなるかもしれません。
ソフトウェア配布
社内開発の業務ソフトを全社員のパソコンに配布したい、最新の商品カタログを営業担当者に配布したい、といった要求をよく聞きます。
多くのパソコン管理ツールで、配布するソフトウェアとインストール手順をまとめた「パッケージ」を作成、登録し、ターゲットとなるグループを指定して配布する機能を提供しています。
低速な回線で接続している場合、ソフトウェア配布で使うネットワーク帯域を抑えたいといった場合には、ネットワークの帯域制御機能のある管理ツールを選ぶ必要があります。また、遠隔地に拠点があるような場合には、パッケージが拠点に一回だけ転送してキャッシュしておき、拠点のコンピューターは拠点内にキャッシュされているパッケージをインストールする仕組みを持つものを選びましょう。
また、MicrosoftのApp-V[23]のようなアプリケーションの仮想化を使用している場合には、配布ツール選定の際に、仮想化したアプリケーションに対応しているかどうかのチェックも必要です。
ソフトウェア資産管理
「ソフトウェア資産管理」という言葉が「ソフトウェアライセンス管理」という意味で使われていることもよく見かけます。
ソフトウェア資産管理については、そのプロセスが、ISO/IEC19770-1[24]あるいはJIS X0164で規格として定義されており、ライセンス管理はソフトウェア資産管理の重要な位置を占めてはいますが、ソフトウェア資産管理は、ライセンスの管理にとどまらず変更管理、リース管理やソフトウェアの開発、さらには脆弱性対策といったセキュリティーに及ぶ広い範囲をカバーするものになっています。すでにITIL(Information Technology Infrastructure Library)を実践している場合は、その一環としてソフトウェア資産管理も実施していくのは当然の流れでしょうが、とりあえずライセンスを管理しなくては、という場合には、ソフトウェア資産管理まで手を広げる必要があるかどうか、については、目的と投資対効果を考えることが必要でしょう。

コンプライアンスの観点では、購入したライセンス数を超えてインストールしてしまっているといった不正使用状態を防止することが主な目的になりますが、IT投資の最適化という観点では、まだ使っていないライセンスがあるのに追加のライセンスを購入してしまった、一回も使用していないユーザーの分もライセンスを購入しているといったことを避けることも重要になります。また、実際に使用しているソフトウェアの数と使用されているバージョンを把握することができれば、バージョンアップを計画する際に適切な予算計画ができるでしょう。

WindowsのActive Directoryでコンピューターを管理していて、社員にはDomain Usersグループに属するユーザーIDだけを使わせていて一切の例外を認めない場合には、ソフトウェアが勝手にインストールされることはまず無いでしょうが、必要なソフトウェアはすべてIT部門が配布することが必要になります。
ソフトウェアの使用状況を知るために、各パソコンにインストールされているソフトウェアは何か、どのソフトウェアをいつ起動したかといったことを手作業でチェックすることは、作業の手間と、チェックし忘れを考えると現実的ではありませんので、インストールされているソフトウェアとその使用状況を自動的に把握できるツールの使用が望まれます。
コンピューターにインストールされているファイルから、使われているソフトウェアを判断するのは、簡単ではありません。たとえば、コンピューターにExcel.exeというファイルがあったとしても必ずしもMicrosoft Excelであるとは限りません。さらに、ライセンス管理の観点では、Microsoft Excelがインストールされていたとして、バージョンはいくつか、さらにOffice Professionalで購入してインストールしたものか、単品のExcelをインストールしたものか、個人で勝手にOffice Personalをインストールしたのか、といったインストール元を識別できることも必要です。もちろん、1つのExcelがOffice Standardと単品のExcelといったように重複して検出されないということも必要です。

単にレジストリを調べることができる、フォルダーを検索できるといったツールでソフトウェアのライセンスを管理することは、ソフトウェア検出のルールやスクリプトを定義する手間と検出の精度を考えると現実的ではありません。市販のソフトウェアやフリーのソフトウェアを検出するための情報がソフトウェアのカタログ(ソフトウェア辞書、ソフトウェア台帳、ソフトウェアDB等と呼ばれることもあります)として提供され、これに基づいてソフトウェアを検出できるツールを使用することが望まれます。

また、一般的なカタログを持ったツールを使うことで、会社では把握していないソフトウェアの使用を検出できる可能性が高まり、ソフトウェアの不正使用の検出・予防のコンプライアンスの観点でも、会社が使用を許可していないソフトウェアの脆弱性をつかれることによるマルウェアへの感染の防止というセキュリティーの観点でもリスクを抑制することにも繋がります。セキュリティーの観点からは、いわゆるP2Pファイル共有ソフトも自動的に検出できるツールが望ましいでしょう。
なお、ソフトウェアの検出のために、ISO/IEC19770-2[25]でSoftware Identification Tagが定義されており、2012年にはMicrosoftもISO/IEC19770-2のサポートを表明しました。Software Identification Tagが広く使われるようになると、Tagをサポートするソフトウェアの検出は容易になると期待されます。
ソフトウェアのライセンスについてもISO/IEC19770-3[26] Software Entitlement Tagとして作業が行われていますが、目標は2015年11月ということで、もう少し時間がかかりそうです。

ライセンスの中で、Microsoftのサーバー製品にアクセスする際に必要となるClient Access License(CAL)については、CALを割り当ててもクライアントにはSoftware Identification Tagを含めて何もインストールされないため、クライアントパソコンを調査して自動的に検出することはできません。筆者の調べた限りでは、Microsoft以外でサーバーのCAL使用状況を検出できると謳っているツールはありませんので、割り当てを記録して管理するか、Microsoft Assessment and Planning (MAP) Toolkit[27]を使用してサーバーへの接続数を調べることになります。

ライセンスの管理としては、実際にインストールされているソフトウェアとその数を検出する機能だけではなく、保有しているライセンス数を記録し、実際にインストールされている数と比較して、余剰あるいは超過ライセンスの確認ができることが必要です。
情報漏洩防止やライセンス条件に問題があるといった理由から会社で禁止しているソフトウェアを登録しておき、検出された場合には自動的に管理者に通知する、さらには禁止されているソフトウェアとそれがインストールされているコンピューターを知ることができる機能もあると便利でしょう。

ソフトウェアを期限のあるライセンスで契約している場合、あるいは保守契約が必要なソフトウェアを利用している場合には、保有ライセンス数だけではなく、ライセンスや保守契約の開始日、期間、更新リードタイムといった契約の情報を管理することが必要になります。ツールではライセンスを契約と関連づけて管理でき、契約更新が必要になったら、更新するかどうかの検討を開始することを通知してくれる機能があると、契約期間の超過による不正使用や、継続価格が適用されなくなって新規価格で契約し直しといったうっかり忘れによる損失を防止する一助となります。
管理を超えて
ここまで管理について述べてきましたが、パソコンは「管理」するだけのものでしょうか?
IBMがSmarter Planet, Smarter CitiesといったSmarterソリューションを提唱していることはご存じの方も多いことでしょう。
Smarterソリューションでは、パソコンを含むコンピューターだけではなく、モバイル機器、多機能プリンターを始めとするオフィス機器、ビル管理のBEMS(Building Energy Management System)、その家庭版であるHEMS(Home Energy Management System)や、さらには車載機器、各種センサーなどがネットワークを介して繋がっていくと考えられており、「エンドポイント」の種類も多岐にわたるようになります。IBMでは、Smarterソリューションを実現していくためには、センサー等から情報を収集するInstrumentation、収集した情報に基づいて、例えばエネルギー削減のために照明や空調の設定を調整したり、プリンターの電源を切ったりといったアクションを取るControl、エンドポイントに対して設定やソフトウェアの更新を行うManagementが必要であると考えています。
これまで述べてきた、パッチが適用されているか、セキュリティー構成が適切か、といった情報の収集はManagementの一部になります。Instrumentationでいう情報の収集は、Smarterソリューションの実現のための情報、例えば自動車であれば走行距離、位置、走行速度、油圧、水温等が考えられますし、プリンターであれば、印刷枚数、トナー残量や、紙詰まりといったトラブルの情報、センサーであれば、明るさ、温度、湿度といった情報です。このような情報を収集して分析することにより、たとえばプリンターでは、トナー切れ、ドラム寿命切れの前に保守作業を依頼したり、ビルでは、温度、明るさ、在館者数といったセンサーの情報に基づいて、空調や照明をより適切に管理したりするのがControlとなります。
InstrumentationとControlはパソコンとは関係無いように思われるかもしれませんが、パソコンをセンサーとしてInstrumentationに使うこともできます。ここでIBMの社内事例をご紹介しましょう。
IBMでは、社員一人一人にパソコンを配布していること、業務にパソコンが必須となっていることを利用して、パソコンを社員の在席状況のセンサーとして利用しています。IBMでは社員が利用する35,000台のパソコンのネットワーク接続の履歴を記録しており、IBMのいくつかのビルでは、ネットワーク接続の情報に基づいて、どのフロアのどの区画で何人の社員が働いているかを認識し、ビル管理システムと照合することで、空調制御の最適化を行っています。
既に社員に配布したパソコンをInstrumentationに利用することで、人感センサー等の追加のハードウェアを一切使用することなく、空調システムのControlを実現し、オフィスの勤務者が意識することなく、Smarter Buildingを実現しています。
image
まとめ
今回は、エンドポイントの管理の中で、パソコンの管理という観点から、セキュリティーと資産管理について述べました。
セキュリティーや正しい資産管理という観点からは、すべての読者の方に、こんなことは常識だ、すべて対応している、こんな記事は不要だ、と言って頂ける状態になっていることが望ましいのですが、特にセキュリティーの観点で、もし対応が不十分だ、と感じる点がありましたら、読者の所属する企業のセキュリティーポリシーと照らし合わせた上で、必要な措置をとるきっかけとして頂けると幸いです。
 
参考文献およびリンク:
URLは2013年9月現在のものです。(リンクは全て外部リンク)

[1] 独立行政法人 情報処理推進機構(IPA: Information-technology Promotion Agency, Japan, 以下IPAと表記します):,「2013年版 10大脅威 身近に忍び寄る脅威」 blankup を公開
[2] IBM:2013年上半期 Tokyo SOC 情報分析レポート 公開
[3] IPA:2013年6月の呼びかけ 「 ウェブサイトが改ざんされないように対策を! 」~ サーバーやパソコンのみならず、システム全体での対策が必要です ~
[4] IPA:2013年7月の呼びかけ 「 止まらないウェブ改ざん! 」~ ウェブサイトの管理の再検討を!
[5]例 National Institute of Standards and Technology (以下NISTと表記します): CVE2012-4792
[6]例 NIST: CVE2013-1493
[7]例 IBM: ドライブ・バイ・ダウンロード攻撃によるAdobe Readerゼロデイ脆弱性の悪用
[8] IBM: IBM X-Force 2012 Mid-Year Trend and Risk Report
[9] IPA:「2011年度 情報セキュリティ事象被害状況調査」報告書について
[10] バーチャル・パッチを提供する製品の一例:
IBM:パッチ・マネージメントを簡素化するVirtual Patch テクノロジー
[11] NIST:The Security Content Automation Protocol (SCAP)
[12] NIST:National Checklist Program Repository
[13]NIST:Common Configuration Enumeration (CCE)
[14] 一田和樹:サイバーテロ 漂流少女, ISBN-13: 978-4562047697
[15] Absolute Software:Absolute Computrace
[16] Intel Corporation:インテル® アンチセフト・テクノロジーでノートブック PC のセキュリティーを確保
[17]山川輝二、中島一雄、市村正太郎:”HDDのセキュリティ規格及び想定外の使用によって瞬時にデータを無効化する2.5型HDD”, 東芝レビュー Vol.66 No.8 (2011)
[18] 株式会社 東芝, 世界初:想定外の機器に接続されると瞬時にデータを無効化する2.5型HDDを製品化
[19] 株式会社 東芝:TOSHIBA Smart Client Manager
[20] 特定非営利活動法人 日本ネットワークセキュリティ協会(Japan Network Security Association, 以下JNSAと表記します):2012年 情報セキュリティインシデントに関する調査報告書【上半期 速報版】
[21] JNSA:2011年 情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~
[22] JNSA:2010年 情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~
[23] Microsoft:アプリケーションの仮想化
[24] International Organization for Standardization (以下ISOと表記します):ISO/IEC 19770-1:2006
Information technology -- Software asset management -- Part 1: Processes, http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=33908 および
ISO:ISO/IEC 19770-1:2012
Information technology -- Software asset management -- Part 1: Processes and tiered assessment of conformance, http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.htm?csnumber=56000
[25] ISO:ISO/IEC 19770-2:2009
Information technology -- Software asset management -- Part 2: Software identification tag, http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=53670
[26] ISO:ISO/IEC CD 19770-3
Information technology -- Software asset management -- Part 3: Software entitlement tag, http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=52293
[27] Microsoft:Microsoft Assessment and Planning (MAP) Toolkit


ご注意
IBM、IBM ロゴ、ibm.com、Smarter Planet、Smart Citiesは、世界の多くの国で登録されたInternational Business Machines Corporationの商標です。他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。現時点でのIBMの商標リストについては、www.ibm.com/legal/copytrade.shtmlblankup をご覧ください。
Adobeは、Adobe Systems Incorporatedの米国およびその他の国における登録商標または商標です。
IT Infrastructure Libraryは英国Office of Government Commerceの一部であるthe Central Computer and Telecommunications Agencyの登録商標です。
Intelは Intel Corporationまたは子会社の米国およびその他の国における商標または登録商標です。
Linuxは、Linus Torvaldsの米国およびその他の国における登録商標です。
Microsoftおよび Windowsは Microsoft Corporationの米国およびその他の国における商標です。
ITILは英国The Minister for the Cabinet Officeの登録商標および共同体登録商標であって、米国特許商標庁にて登録されています。
JavaおよびすべてのJava関連の商標およびロゴは Oracleやその関連会社の米国およびその他の国における商標または登録商標です。
他の会社名、製品名およびサービス名等はそれぞれ各社の商標です。




 
 
 
サイトマップ関連リンクプライバシーポリシーblankupご利用にあたってblankup
ページのトップへ