PCのセキュリティ統制向上は現状把握から：PDCAサイクルで強化

社内PCのセキュリティ状態を高めるステップは、ルールの再確認と現状調査、是正を繰り返すことが近道になる。

[ITmedia]

　何百台、何千台もの社内PCは、常にOSやウイルス対策ソフトが最新の状態に保たれているだろうか――このほど開かれたクオリティ主催のイベント「PCネットワークの管理・活用を考える会」では、エフサスネットワークソリューションズの藤本直樹氏が、PCのセキュリティ統制を強化するための方法を事例を交えて紹介した。

　多くの企業では、管理ツールなどを利用して社内PCの状態を把握できるようにしている。だが、多数の端末の状態を一台一台詳細に管理することは、IT部門を設置している大企業でも容易ではないだろう。管理者の目が行き届きにくくなれば、OSが最新の状態にない、セキュリティ対策ソフトのパターンファイルが最新ではないといったセキュリティホールが生まれてしまう。その抜け穴をふさいでいくことが、セキュリティ統制を強化するポイントになる。

　エフサスにセキュリティの強化支援を依頼した物流業A社では、約150台のWindows XP SP2を搭載するPCを運用していた。同社では資産管理ツールを使用して社内PCの状態を把握できるようにしていたが、セキュリティ状態の管理はしておらず、セキュリティ統制の強化が経営課題になっていた。OSのセキュリティパッチ適用はWindowsのUpdate機能を、ウイルス対策ソフトのアップデートは自動更新機能を利用していたが、管理部門が作業を強制することはなかった。

リポートで可視化（左）する。さらにMicrosoftの脆弱性診断ツールで詳細な現状把握も行った

　セキュリティ統制を図る上で、エフサスは資産管理ツールの調査機能やリポーティング機能に着目し、現状を正確に把握していくことを重視した。調査を進めるために、まず指標となるセキュリティポリシーを暫定的に策定。暫定ポリシーに照らして各PCのセキュリティ状態がどのようになっているかを調べ、グラフなどを用いてリポートを作成し、視覚的に理解できるよう、社内PCのセキュリティ状態を可視化した。

　暫定ポリシーの内容はA社へのヒアリングを踏まえて作成したが、当初から複雑なものにはせず、「OSを最新の状態にする」「業務上必要のないソフトをインストールしない」といった基本的な内容にした。企業によっては、ファイル共有ソフトや無償のインスタントメッセンジャーの禁止している場合が多い。だが、業務内容によってはこれらのツールを活用することで、社員の生産性が高まる場合もある。「自社の環境に合わせて柔軟に策定することが大切」と藤本氏はアドバイスしている。

　現状調査の結果、95％のPCでは業務に不要なソフトが検出されなかったが、5％のPCにインスタントメッセンジャーが見つかった。ウイルス対策ソフトが最新の状態に保たれていたPCは95％だった。

　この結果を受けて、A社とエフサスではポリシー違反をしているユーザーに対し、個別に対策を促がすように通知をするように対処した。両者では1カ月後に同様のプロセスで再度調査をし、ポリシー違反の件数が減少していることを確認した。以後もこのプロセスを繰り返すことで違反件数を減らすようにしているという。

　一方、OSのセキュリティ状態は98％のPCが最新の状態になっていないことが判明した。これだけの規模になると、1人1人のユーザーへ個別に通知をしていくのは難しく、A社では社内メーリングリストや掲示板で、全社員にOSのアップデートをするように呼びかけることにした。同時に対策が改善しない場合に備えて、A社ではOSの更新プログラム管理サービスの「Microsoft Windows Server Update Services」の導入を検討しているという。

　A社の取り組みはまだ道半ばだが、こうしたプロセスを踏むことでセキュリティ統制の強化を着実に図っているという。藤本氏はセキュリティ統制を強化していくポイントとして、「P（Plan）.D（Do）.C（Check）.A（Action）」のサイクルでプロセスを繰り返す、管理者のモニタリングによりユーザーのセキュリティ意識を高めることが重要になると指摘した。

過去のニュース一覧はこちら