ソフトウェアベンダーが考えるセキュアなクライアント環境とは?:次世代企業が目指すべきセキュアなクライアント環境の実現(1/2 ページ)
今回の特集を締めくくるにあたって、クライアントをセキュアに保つため日々、工夫や努力を続け、ソリューションを開発しているベンダー2社に取材を行った。その1回目として、マイクロソフトのセキュリティレスポンスチームに話を聞く。
世界最大のソフトウェアベンダーであり、クライアントOSやサーバOSなど企業システムのインフラ的部分を担っているマイクロソフト。同社がどのようにクライアントのセキュリティを考え、対応しているのかを探ってみる。
企業のセキュリティ対策はリスク管理
危機意識を喚起するために、今回の特集を通じて訴求してきたのが、クライアントのセキュリティを確保できなければ企業活動を危うくし、社会的信用すら失いかねないという点だ。
マイクロソフトでは、こうした企業のセキュリティ意識に対してどのようなメッセージを発信しているのだろうか。セキュリティレスポンスチーム セキュリティテクニカルリードの小野寺匠氏と、Windows本部 ビジネスWindows製品部 シニアプロダクトマネージャの永妻恭彦氏に聞いた。
「コンシューマーなど一般の利用者に対しては、PYPC(Protect your PC)というメッセージを出して、Windowsのアップデートやアンチウイルス、アンチスパイウェアとファイアウォールなどの環境作りをして、安全性を確保してもらっている。一方、企業ユーザーやITベンダー、システムベンダーへは、これとは別のメッセージになる。それは、セキュリティ対策はさておいても、リスク管理だけはしっかりと行ってください、というものだ。やや乱暴な言い方をすれば、セキュリティに関するリスクを正しく認識し、万一のときそれを処理できるスキルと資金と時間があるのなら、対策は必要ない。けれども、もしリスクが現実のものとなってそれを処理できないのであれば、しっかりとしたセキュリティ対策をしておく必要がある。企業や担当者のさまざまな事情をかんがみて、このバランスを見極めることこそ企業のセキュリティ対策に必要なことだ」(小野寺氏)
セキュリティレスポンスチーム セキュリティテクニカルリードの小野寺匠氏つまり、企業においてはまずリスク管理を考えるべきということだ。ただし、小野寺氏も指摘するとおり、リスク処理を取るか、セキュリティ対策を取るかの判断はなかなか難しい。そこでマイクロソフトでは、判断基準の材料となるためのさまざまな管理ツールおよびソリューションを提供している。
同社ではセキュリティを脅かす要因として、いわゆるウイルス、スパイウェア、ハッキングといった外的要因と、対極となる内的要因の2つを考えているという。
外的要因は理解しやすいが、内的要因とはどのようなものだろうか。
それは、管理されていないクライアントの利用だ。例えばセキュリティパッチが適用されておらず、ウイルスパターンファイルが更新されていないという、当然なされているべき処置がおろそかになっているクライアントの状態である。企業内のセキュリティ確保は、これを管理することから始まるといえる。
ただし、ここでの管理とは「使用方法を締め付けてユーザーを不便に落とし入れようとするものではなく、絶対に超えてはならない禁止事項があり、それが禁止のまま保たれているかを把握する手段を持っているか」(小野寺氏)という意味だ。
比較的大規模な企業では、ユーザーが管理されていないクライアントを利用することは少ないはずだが、企業規模が下がってくるにつれ、管理者不在だったり、兼務のために十分に管理の時間が取れないということもあるだろう。こうしたケースにおいては、「一般コンシューマー向けと同じメッセージ、つまり先ほどのPYPCを発信」(永妻氏)しているという。ただし、企業の場合は、「経営者や責任者自らが安全性をどう考えているかのメッセージを発信することが大切」(小野寺氏)という部分にコンシューマーとの違いがある。
では、Active Directory(AD)などを使って管理している企業では、内的要因が問題となることはないのだろうか。
「ADの利用は、全体を管理する手法を持っているということにすぎません。セキュリティ対策に終わりはなく、絶えず手を加えていく必要があるのです。その際に、ADなどの管理手法がコストや手間という面で有利に働くというだけで、やはりきちんと管理され続けていないと意味がないのです」(小野寺氏)
また、クライアントの台数だけが管理ツールの有効性を判断する材料になるわけではない。「パソコンの台数は少ないが、人の数は多いというところ。あと、アルバイトなど人の入れ替わりの激しいところ」は人任せでの管理が難しいケースだという。せっかく人を教育しても、教育が定着しない職場といえる。このような場合には、システムを使って管理した方が楽になるという。
セキュリティ対策は保険か?
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
ITmediaはアイティメディア株式会社の登録商標です。