特集
» 2005年12月27日 08時00分 公開

次世代企業が目指すべきセキュアなクライアント環境の実現:ソフトウェアベンダーが考えるセキュアなクライアント環境とは? (1/2)

今回の特集を締めくくるにあたって、クライアントをセキュアに保つため日々、工夫や努力を続け、ソリューションを開発しているベンダー2社に取材を行った。その1回目として、マイクロソフトのセキュリティレスポンスチームに話を聞く。

[下村恭(ハンズシステム),ITmedia]

 世界最大のソフトウェアベンダーであり、クライアントOSやサーバOSなど企業システムのインフラ的部分を担っているマイクロソフト。同社がどのようにクライアントのセキュリティを考え、対応しているのかを探ってみる。

企業のセキュリティ対策はリスク管理

 危機意識を喚起するために、今回の特集を通じて訴求してきたのが、クライアントのセキュリティを確保できなければ企業活動を危うくし、社会的信用すら失いかねないという点だ。

 マイクロソフトでは、こうした企業のセキュリティ意識に対してどのようなメッセージを発信しているのだろうか。セキュリティレスポンスチーム セキュリティテクニカルリードの小野寺匠氏と、Windows本部 ビジネスWindows製品部 シニアプロダクトマネージャの永妻恭彦氏に聞いた。

 「コンシューマーなど一般の利用者に対しては、PYPC(Protect your PC)というメッセージを出して、Windowsのアップデートやアンチウイルス、アンチスパイウェアとファイアウォールなどの環境作りをして、安全性を確保してもらっている。一方、企業ユーザーやITベンダー、システムベンダーへは、これとは別のメッセージになる。それは、セキュリティ対策はさておいても、リスク管理だけはしっかりと行ってください、というものだ。やや乱暴な言い方をすれば、セキュリティに関するリスクを正しく認識し、万一のときそれを処理できるスキルと資金と時間があるのなら、対策は必要ない。けれども、もしリスクが現実のものとなってそれを処理できないのであれば、しっかりとしたセキュリティ対策をしておく必要がある。企業や担当者のさまざまな事情をかんがみて、このバランスを見極めることこそ企業のセキュリティ対策に必要なことだ」(小野寺氏)

セキュリティレスポンスチーム セキュリティテクニカルリードの小野寺匠氏

 つまり、企業においてはまずリスク管理を考えるべきということだ。ただし、小野寺氏も指摘するとおり、リスク処理を取るか、セキュリティ対策を取るかの判断はなかなか難しい。そこでマイクロソフトでは、判断基準の材料となるためのさまざまな管理ツールおよびソリューションを提供している。

 同社ではセキュリティを脅かす要因として、いわゆるウイルス、スパイウェア、ハッキングといった外的要因と、対極となる内的要因の2つを考えているという。

 外的要因は理解しやすいが、内的要因とはどのようなものだろうか。

 それは、管理されていないクライアントの利用だ。例えばセキュリティパッチが適用されておらず、ウイルスパターンファイルが更新されていないという、当然なされているべき処置がおろそかになっているクライアントの状態である。企業内のセキュリティ確保は、これを管理することから始まるといえる。

 ただし、ここでの管理とは「使用方法を締め付けてユーザーを不便に落とし入れようとするものではなく、絶対に超えてはならない禁止事項があり、それが禁止のまま保たれているかを把握する手段を持っているか」(小野寺氏)という意味だ。

 比較的大規模な企業では、ユーザーが管理されていないクライアントを利用することは少ないはずだが、企業規模が下がってくるにつれ、管理者不在だったり、兼務のために十分に管理の時間が取れないということもあるだろう。こうしたケースにおいては、「一般コンシューマー向けと同じメッセージ、つまり先ほどのPYPCを発信」(永妻氏)しているという。ただし、企業の場合は、「経営者や責任者自らが安全性をどう考えているかのメッセージを発信することが大切」(小野寺氏)という部分にコンシューマーとの違いがある。

 では、Active Directory(AD)などを使って管理している企業では、内的要因が問題となることはないのだろうか。

 「ADの利用は、全体を管理する手法を持っているということにすぎません。セキュリティ対策に終わりはなく、絶えず手を加えていく必要があるのです。その際に、ADなどの管理手法がコストや手間という面で有利に働くというだけで、やはりきちんと管理され続けていないと意味がないのです」(小野寺氏)

 また、クライアントの台数だけが管理ツールの有効性を判断する材料になるわけではない。「パソコンの台数は少ないが、人の数は多いというところ。あと、アルバイトなど人の入れ替わりの激しいところ」は人任せでの管理が難しいケースだという。せっかく人を教育しても、教育が定着しない職場といえる。このような場合には、システムを使って管理した方が楽になるという。

セキュリティ対策は保険か?

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -