あなたの会社で使っているPCのセキュリティは大丈夫だろうか? きちんと管理できていると思っていても、どこかに落とし穴がないとは限らない。そもそも、完璧なセキュリティ対策とはどのようにすればよいのだろうか。こうした不安を取り除くことができる無償のサービスを紹介しよう。
個人情報保護や情報漏えい対策、また日本版SOX法に向けたコンプライアンス整備など、今や企業内PCのセキュリティの重要度は高まる一方だ。だがこのような状況下でさえ、社内ネットワークのセキュリティ対策担当者や管理者が、専業として従事していないところも多いと聞く。セキュリティの専門家やコンサルタントの支援を受けて万全の対策をしているというケースは、まだ少数だろう。
つまり企業内の現状は、セキュリティを専門としていない兼業管理者が自らの範囲内で努力して、社内のPCセキュリティ対策を構築しているということになる。こうした兼業管理者の中には、自分たちの行っている対策が正しいかどうか、また、十分な効果をもたらす対策を行っているのかという不安を感じている人々も少なくないだろう。
そうした兼業管理者への朗報をご紹介しよう。マイクロソフトが「社員力強化プロジェクト」の一環として提供し、セキュリティコンサルタントのラックがサポートする「PCから始める職場のセキュリティ診断サービス」だ。これは、社内のセキュリティ対策が十分なものかどうかをPCという観点から無償で診断してくれるサービスである。
無償の診断サービスといっても、一斉にPCを停止して検査するといったような、日々の業務に差し支えるような作業が伴うものだと敷居が高いが、その点は心配ない。なぜなら、すべての作業がネットワークを通して行うものばかりだからだ。
では、実際にどのようなステップで診断が行われるのかを説明したい。まずは、管理者がマイクロソフトのWebサイト「PCから始める職場のセキュリティ診断サービス」からサービス申し込みをするところから始まる。
Windows Liveのアカウントがあれば、すぐにサービスの申込みができる(その場でWindows Liveへの登録も行える)。申し込み作業が終わると、サービスを利用するためのIDとパスワード、それにサービスの利用方法が記載されたメールが届く。
続いて、届いたIDとパスワードでWeb上の管理者画面にアクセスし、診断グループの登録を行う。支社、部署や課といった単位で登録すればよいだろう。同時に、診断のための調査実施期間を設定する。現在から最大で60日以内の日付が設定でき、この間が調査の作業を行う期間となる。この実施終了日は後から変更可能なため、はじめは60日後に指定しておき、調査作業が終わった時点で短く登録し直すという運用でもよいだろう。調査実施期間を登録すると、先の診断グループは変更ができなくなるため注意が必要だ(注意を促す表示が出る)。
ここまでで事前の準備は完了となる。ここからは実際の調査の段階に入る。その最初のステップは、企業内でのPC利用状況を調査するため、PCを利用している社員を対象に「セキュリティに対する意識調査」というアンケートを行うことから始まる。
社員へのアンケートの依頼だが、これについては先にログインした管理者画面にテンプレートが用意されており、アンケートページのアクセス先URLなどが記載されているので、これを利用して調査依頼のメールを一斉配信などで出せばよいだろう。
では今度は、アンケート調査を依頼されたPCユーザー社員の立場で見ていこう。
管理者から送られてきたメールを受け取ったユーザーは、メール内に記載されたアクセス先URLからアンケート回答用のWebサイトに誘導される。
最初に表示される画面で、アンケート回答用のActiveXツールのインストールの仕方や回答方法について細かく説明されている。一般的なPCユーザーであれば特に問題となるような点はないだろう。
実際のアンケート質問は15問程度。その内容も「デスクトップOSとしてWindows XPあるいは、Windows Vistaを使用していますか?」、「コンピュータウイルス対策ソフトをインストールしていますか?(Norton、TrendMicro等)」といった簡単な内容で、回答は「はい」、「いいえ」、「わからない」の3択とシンプルであり、通常であれば5分程度でアンケートは終了する。
ユーザーがアンケートへ回答している間に、ツールが自動的に「PCの環境調査」を行う。アンケートの回答とこの調査情報の2本立てで社内PCのセキュリティ対策の実態を収集し、ラックにそれらが送られる。その結果で度合いが判断されるという仕組みになっている。
こうした調査が実施期間内に行われ、終了日になると、ラックによる診断が行われる。さまざまな観点からの分析を加え、その診断結果レポートとして管理者がWebからダウンロードできるようになっている。
診断される項目は多岐にわたる。アカウント管理の面からは、なりすましや不正アクセスに対する危険性、またデスクトップセキュリティの面からは、クライアントセキュリティの設定状況の把握や、セキュリティパッチの適用状況の把握、マルウェア対策の状況やデータ保護といった点について診断が行われる。
そして診断後に送付されるレポートでは、ツールに基づく現状調査の結果と、アンケートに基づく意識調査のそれぞれがグラフ化されて提供される。先に述べたとおり、情報の収集は企業内のPCユーザーにアンケートを行い、同時にツールによる環境調査で行われる。2本立ての調査には、ユーザーの認識と実態との「差」を明確にするという重要な意味がある。つまり、「自分たちの意識ではできていたと思っていても、まだ穴があった」ということがはっきりするわけだ。単なるアンケートでは「やっているつもりでできていない」部分について明確にならない。アンケートの回答では対策済みとなっていても、ツールによる調査では対策が十分でないということもあり得る。これにより、セキュリティに対するユーザーの認識も再起されることになる。
また診断結果レポートには、全体結果を5段階評価したものや、全国のセキュリティ偏差値や、ラックが定めた基準値との差分等がレーダーチャートを利用して表示される。具体的に何がセキュリティの課題であるのかが非常によく分かるようになっており、この結果をみて、今後の取るべき対応を早急に検討することを薦める。
具体的な内容については、こちらのサンプルPDFを参考にしていただきたい。
調査結果により、全体結果を含めて総合的に診断された。しかし、ここで終わりではない。診断結果に基づいた対策ガイドというものが発行される。管理者は診断とそれに対応した対策ガイドをもとにして、セキュリティ対策の弱い部分を補強することが可能となる。さらに、対策後にもう一度診断を行うことで、対策が実効性のあるものとなったかどうかを確認できるようになっている。
ここまで紹介したように、本セキュリティ診断サービスでは、アンケートに答えるだけという簡単な手順を実行するだけで、社内ネットワークのセキュリティ対策の診断を行うことができる。さらに、問題点が検出されれば、その対策方法についてのアドバイスももらうことができる。社外の第三者、それもセキュリティの専門家による診断とアドバイスを無償でもらえるというのは、管理者にとっては願ってもいないチャンスではないだろうか。
このサービスは、2006年10月18日より2007年6月30日までの期間限定で無償提供される。兼業管理者に限らず、簡単に調査したいという専門の管理者でも利用可能だ。また、SOHOのような小規模ネットワークのユーザーでも調査を依頼することができる。できるだけ多くの管理者に利用していただき、セキュリティの向上に役立てていただきたいサービスだ。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:マイクロソフト株式会社
制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2006年12月15日