Windows Vista導入前の脆弱性対策：クライアントセキュリティ大作戦（2/2 ページ）

[敦賀松太郎，ITmedia]

Active Directoryやセキュリティソフトの導入が近道

　では、ユーザーアカウントを「制限」に変更すれば、事は済むのだろうか。実は、そう簡単な話ではない。「ワークグループ」環境の利用では、各クライアントPCに新たな「コンピュータの管理者」を設定しない限り、既存のユーザーアカウントを「制限」にすることはできない。したがって、管理者自身がすべてのクライアントPCを操作し、新しい管理者のユーザーアカウントを作成する必要がある。これは、あまり現実的ではない。

　最も簡単で、かつ有効な手法と考えられる方法は2つある。まずは、Windows Serverを導入し、Active Directory環境を構築することだ。ディレクトリのインフラを構築する際、ユーザーアカウントの新規作成や各クライアントでのデータ移行など、若干の作業が必要になるが、一度運用を開始すれば、管理作業は容易であり、クライアントPCの状況もつかみやすくなる。

　ただし、大規模なネットワーク環境にActive Directoryを導入するには、インターネットのDNS設定も含め、かなりの労力を必要とする。ワークグループから新しくActive Directory環境を構築するには、1人の管理者がすべてのユーザーアカウントを把握できる数人〜数十人単位のネットワークまでと考えたほうが良い。

　誤解なきように断っておくが、Active Directoryによる統合認証環境は大規模ネットワークでも十分に運用可能であり、導入コストをかけてSIerに依頼すれば、いくらでも構築できる。ここでは、管理者が自身の手で導入、運用した場合を考慮し、中小規模のネットワークに留めておくことをお勧めする。

　もう1つの方法は、クライアントセキュリティソリューションを導入する方法だ。ずなわち、クライアント管理専門のソフトウェアによって、情報漏えいなどのセキュリティ対策を施すのである。この方法では、既存のクライアントPC環境にほとんど手を加えずに導入できるメリットがある。もちろん、導入コストは必要になるが、Active Directoryを導入する場合でも、Windows ServerやCAL（クライアントアクセスライセンス）を購入しなければならないので、クライアントセキュリティソリューションのほうがむしろ安価な場合もある。

　クライアントセキュリティソリューションの代表的な例としては、日立製作所の「JP1/秘文」がある。このソフトは、用途に応じて必要な機能が選べるほか、各クライアントライセンスも5000円〜10000円程度とリーズナブルな価格になっている。