検疫で持ち出しPCの“抜け穴”をチェックする：セキュアモバイルアクセス（2/2 ページ）

[ITmedia]

検疫のルール作りはステップで

　それでは、検疫ポリシーを運用していく上でセキュリティルールの設定やユーザーに対するアクションをどのように実施すればいいのだろうか。

　マイクロソフトでは、NAPによる検疫の実施について、ステップアップでルールを強化していくのが良いとアドバイスする。まず、レジストリチェックなどによって検疫対象のPCが企業で管理している端末か、外部の端末であるかを区別する。それぞれの端末に対して、OSのセキュリティパッチとウイルス対策ソフトウェアの定義ファイルの2点が最新の状態であるかを検査し、管理PCにはWindows Updateなどで修復を促す、管理していないPCは接続を許可しないようにする。

　OSのセキュリティパッチとウイルス対策ソフトウェアの定義ファイルの更新状態のルールは、連休や長期休暇などを考慮して最終更新が「3日以内」や「5日以内」のものは接続を許可すると行った幅を持たせる。休み明けには多くのユーザーが一斉に接続を試みるため、検疫システムや修復作業が停滞してしまう恐れがあるためだ。

　次に、検査対象の項目として業務に利用するアプリケーションのバージョンなどを追加して検疫内容を強化する。近年は特定のアプリケーションの脆弱性を突く攻撃が増えており、PCが脅威にさらされないようにするためにも、検疫システムでアプリケーションの脆弱性をチェック仕組みも役立つだろう。

　まずは必要最低限の項目で検査を行い、検疫ポリシーを満たしていないPCからの接続がどのくらいあるかといった状況をログなどで確認しながら、セキュリティルールを段階的に強化していくことで、管理PCの安全管理を高められる。

　検疫システムでは、検疫ポリシーを満たしていないユーザーに対して警告を通知できるようになっている。Windows Server 2008から、ユーザーへ具体的にどのような項目で検疫ポリシーを満たしていないのかを知らせることができ、修復を促すことができる。

Windows Vistaでのユーザーに対する警告メッセージ

　ユーザーに検疫システムの存在を知らせることで、セキュリティに対する意識を啓発する効果が期待される。ルールを満たしていない項目を知らせることで、ユーザーは通常のPC利用において、どのような点にセキュリティの落とし穴が存在しているかを見直すきっかけにもなるだろう。

　このように、検疫システムは企業ネットワークの外部に持ち出されているPCのセキュリティを保護するだけでなく、組織全体としてセキュリティへの取り組みを強化していくきっかけにもなる。