ここが危険！ 見落としがちなクライアントセキュリティ対策：次世代企業が目指すべきセキュアなクライアント環境の実現（1/2 ページ）

前回は、企業として必ず認識しておくべきセキュリティ上の問題点について、ポリシー策定をメインに考えた。今回はクライアントのセキュリティについて、見落としがちだが重要なポイントを考える。

[下村恭（ハンズシステム），ITmedia]

最低限のセキュリティ対策は完全に

　まずクライアントのセキュリティを確保するための前提として、社内のネットワークが外部から隔離され、安全であることが必要となる。つまり、インターネットと社内ネットワークの境界点にルータやファイアウォールを設置し、外部からの攻撃に対して備えができているかということである。もちろん、ただ設置しているだけでは不十分で、必要なファームフェアのアップデートやセキュリティホールが存在しないかなどのチェックが定期的に行われていなければならない。

　ファイアウォールの設定において注意が必要なのが、80番ポートを使うソフトウェアだ。ご存じのように80番ポートはWebブラウザのHTTP接続で使用される。そのため、ほとんどのファイアウォールでは、80番ポートでの接続が許可されるように設定されている。

　ところが、ある種のトネリング接続ソフトウェア（VPNのように仮想的な専用回線をインターネット上に構築するもの）では、ファイアウォールを越えるために80番ポートを使用しているものがある。これらトネリング接続とネットワークブリッジ接続を併用すると、ネットワークどうしをファイアウォール越しに直接接続させることができる。つまり、ファイアウォールがまったく意味をなさなくなるのだ。

　この問題に対処するには、ソフトウェアのインストールに関するポリシーを設定することが早道だ。ちなみに、80番ポートを塞ぐためにプロキシを設置するという対策もあるが、トネリングソフトウェアによっては、プロキシ越しの接続が可能であったり、SSL接続を使用したりと、プロキシ経由でも穴を開ける方法が存在するので安心できない。

　これはこの種のトネリングソフトウェアの存在を否定するという意味ではない。ハサミが使い方によって便利であったり危険であったりするように、通常の使い方では安全なものも、場合によっては危険なものになり得るということを認識すべきということなのだ。ファイアウォールによるポート制御だけでは対策として不十分だということをきちんと認識しておきたい。

　さらにこの問題は、各クライアントに導入されるパーソナルファイアウォールに関してもいえることだ。例えば、社内ネットワークを信頼するよう制限をゆるく設定してあったときに、ワームなどが寄生したクライアントが社内ネットワークに接続したとたん、そこから攻撃を受けてしまう。ましてや、社内ネットワークへ接続する設定のまま、外部でネットワークに接続してしまった場合は、大変危険な状況に置かれることになる。つまり、パーソナルファイアウォールもきちんと設定しさえすれば大丈夫と思わないことが重要だろう。

　ウイルス対策ソフトに関しても、導入しただけで安心していてはならない。従来から何度も繰り返して言われているように、パターンファイルのアップデートがきちんと行われているかの確認は必須だ。特に管理者の立場であれば、社内の全クライアントのパターンファイルの更新がどうなっているのか、きちんと把握しておくべきであろう。

　もちろん、Windows Updateなどのセキュリティ更新パッチに関しても同様だ。集中管理が行えていないのであれば、定期的にユーザーの注意を喚起する必要がある。更新されないまま放置されたクライアントは、たとえウイルス対策が施され、パーソナルファイアウォールなどで守られていても、とても危険であることを認識し、全ユーザーにも徹底しなければならない。

　社内ネットワークを外部ネットワークから守ること、ウイルス対策ソフトを常に最新の状態に保つこと、パーソナルファイアウォールを導入し適切な設定で使い続けること、セキュリティ更新パッチを適切に適用し続けるといったポイントは、最低限のセキュリティ対策レベルと認識しよう。つまり、実施して当たり前のことなのだ。

　これら対策は、いまや個人ユーザーでも自分を守る手段として当たり前となっている。企業という立場で考えれば、企業全体を守るものだという意識が必要だろう。

クライアントの管理は必須と考えよう