企業がやるべきクライアントのセキュリティ対策とは？：次世代企業が目指すべきセキュアなクライアント環境の実現（2/2 ページ）

[下村恭（ハンズシステム），ITmedia]

どのようにセキュリティポリシーを策定するか

　では、どのような制限や規則をポリシーとすべきなのだろうか。

　管理する立場から言えば、制限は厳しければ厳しいほど管理は楽だ。一方、企業活動という面からは、制限が厳しくなれば生産性や効率は下がる。結局はバランスなのだが、絶対に譲るべきではない点は、こうした生産性でも管理のしやすさでもない。セキュリティなのだ。

　具体的なポリシー設定については、業種や企業規模、職種や部署などによって、さまざまなレベルに分けて考える必要があるだろう。だから、一概にこのようにすればいいというものは残念ながら存在しない。ポリシー策定は、業務分析そのものだという意見もあるほど、企業活動と密接に結びついているからだ。

　そうはいっても、誰もが気を付けておくべき共通点がある。ここに幾つか例を挙げてみよう。

　まず考えておかなければならない点は、社内ネットワークに接続できるクライアントの制限だ。社外に持ち出す可能性のないクライアントであれば、さほど厳しいポリシーは必要ないが、社外に持ち出す可能性があるものについては、かなり厳しいポリシーを設定しなければならない。外部でネットワークに接続されたクライアントは、必ず疑ってかかるべきだ。どのような状況でどのようなネットワークに接続したか、管理者が完全に把握できないものは危険とみなす。これは、VPNなどの方法で社外から社内ネットワークに接続する場合も同じだ。

　もちろん、インストールされているソフトウェアには細心の注意が必要だ。ゲームソフトは禁止対象となるだろうが、この程度はまだかわいい方だ。ファイル交換ソフトは言うまでもなく厳禁、また素性の明らかでないフリーウェアなども要注意だ。一般に、「自己責任で使用してください」などの注意書きがあるソフトは使用しないようにポリシーを策定するべきだろう。

　個人のパソコンを社内に持ち込むことへの対処も考慮しなければならない。さまざまな理由で、個人のパソコンを社内ネットワークに接続することを許可している企業が少なくない。この場合も、社外に持ち出すクライアントパソコンと同様に、どのようなネットワークに接続されたかが分からないため、安易に社内ネットワークに接続させてはならない。同様にインストールされているソフトウェアにも十二分の注意を払おう。ただし、ここにはユーザーの協力が必要となるだろう。いずれにしても、個人パソコンの持ち込みを許可している場合、各種設定などが個別対応にならざるを得ないため、管理者の負担が大きくなることは否めない。

　改めてクライアントを貸与した上で、個人パソコンの持ち込みを禁止するという方法もある。この場合、管理コストは抑えられるかもしれないが、初期投資が必要となる。この点は各企業がバランスを考慮しつつ判断すべきだろう。

　社外へのクライアント持ち出しを禁止したり、個人のパソコンの持ち込みを禁止するという極端な方法を実際に取っている企業もあるようだ。管理コストを考えれば、これも一つの選択肢ではあるが、これでは業務効率が下がり、現場からの反発が起こることもあるだろう。また、ユーザーのログオンアカウントには管理者権限を与えず、ソフトウェアのインストールや設定の変更をさせないという方法もあるが、やはり業務効率に影響があったり、管理者の負担が増える可能性もある。

　別の対策として、Windowsが標準で備えるポリシー機能を利用するのも一つの手だ。必要な制限だけをかけることができる上、Active Directoryや市販のさまざまなツールによって、ポリシーの一括管理が可能となる。部署単位などの個別の設定も可能なため、管理の手間が省け、かつ正しくポリシーの設定が行われているかの確認も簡単になる。

　加えて、検疫ネットワークという方法を取ると、一定のポリシーが遵守されていないクライアントは、物理的に社内ネットワークに接続されても、論理的にネットワークに接続させないということが可能だ。例えば、ウイルス対策ソフトのパターンファイルが最新のものに更新されるまで、あるいは必要なセキュリティパッチが適用されていなければそのクライアントは接続を拒否される。つまり、ポリシーを遵守していなければセキュリティ上の問題があるとして社内ネットワークから排除し、ネットワーク内のほかのクライアントを守るという方法だ。検疫を行う製品によって、カバーする範囲に差があるが、何重ものセキュリティを施す必要があるうちの一つの方策となるだろう。

　管理者から見れば、ユーザーのリテラシーレベルはまちまちで、使い方に研修が必要なユーザーもいれば、勝手に設定の変更やソフトウェアのインストールまでやってしまうユーザーもいる。こうした中で、どのような管理やポリシー設定をするべきか悩むかもしれない。しかし基本となることは、人間はミスをするということを前提に、何重ものセキュリティ対策を講じておくということだ。

　次回も引き続き、ネットワーク管理者が考慮すべきセキュリティについて考える。