検疫で持ち出しPCの“抜け穴”をチェックする:セキュアモバイルアクセス(2/2 ページ)
社外に持ち出したPCで社内ネットワークへ接続する場合にPCのセキュリティ対策は徹底されているだろうか。検疫システムを利用して持ち出しPCの安全確認と社内ネットワークの保護を強化しよう。
検疫のルール作りはステップで
それでは、検疫ポリシーを運用していく上でセキュリティルールの設定やユーザーに対するアクションをどのように実施すればいいのだろうか。
マイクロソフトでは、NAPによる検疫の実施について、ステップアップでルールを強化していくのが良いとアドバイスする。まず、レジストリチェックなどによって検疫対象のPCが企業で管理している端末か、外部の端末であるかを区別する。それぞれの端末に対して、OSのセキュリティパッチとウイルス対策ソフトウェアの定義ファイルの2点が最新の状態であるかを検査し、管理PCにはWindows Updateなどで修復を促す、管理していないPCは接続を許可しないようにする。
OSのセキュリティパッチとウイルス対策ソフトウェアの定義ファイルの更新状態のルールは、連休や長期休暇などを考慮して最終更新が「3日以内」や「5日以内」のものは接続を許可すると行った幅を持たせる。休み明けには多くのユーザーが一斉に接続を試みるため、検疫システムや修復作業が停滞してしまう恐れがあるためだ。
次に、検査対象の項目として業務に利用するアプリケーションのバージョンなどを追加して検疫内容を強化する。近年は特定のアプリケーションの脆弱性を突く攻撃が増えており、PCが脅威にさらされないようにするためにも、検疫システムでアプリケーションの脆弱性をチェック仕組みも役立つだろう。
まずは必要最低限の項目で検査を行い、検疫ポリシーを満たしていないPCからの接続がどのくらいあるかといった状況をログなどで確認しながら、セキュリティルールを段階的に強化していくことで、管理PCの安全管理を高められる。
検疫システムでは、検疫ポリシーを満たしていないユーザーに対して警告を通知できるようになっている。Windows Server 2008から、ユーザーへ具体的にどのような項目で検疫ポリシーを満たしていないのかを知らせることができ、修復を促すことができる。
ユーザーに検疫システムの存在を知らせることで、セキュリティに対する意識を啓発する効果が期待される。ルールを満たしていない項目を知らせることで、ユーザーは通常のPC利用において、どのような点にセキュリティの落とし穴が存在しているかを見直すきっかけにもなるだろう。
このように、検疫システムは企業ネットワークの外部に持ち出されているPCのセキュリティを保護するだけでなく、組織全体としてセキュリティへの取り組みを強化していくきっかけにもなる。
関連キーワード
検疫ネットワーク | リモートアクセス | セキュリティ対策 | Windows Server 2008 | Windows Vista | アクセス管理 | Windows XP SP3
関連記事
- 持ち込みPCのセキュリティをチェック、シマンテックが新機能を提供
シマンテックは、社外から持ち込まれたPCのセキュリティ状態を検査する新機能をネットワークアクセス管理製品に追加した。 - IDとパスワードでは不十分? モバイルでのユーザー認証のツボ
社外でのPC利用や企業ネットワークへ接続する際の認証は、IDやパスワードだけで十分だろうか。第三者による「なりすまし」などを防ぐためには複数の認証手段を用いてユーザーを正しく識別することが求められる。 - 中小企業ためのリモートアクセスとセキュリティ対策指南
モバイル環境で安全に業務を行い、生産性を高める取り組みは中小企業にとっても関心事の1つ。大企業ほどリソースが潤沢ではない中小企業はモバイルアクセスの安全性をどのように高めていくべきだろうか。 - オンライン・ムックPlus「モバイルから安全に企業ネットへ接続しよう」
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.