ITmedia NEWS >
コラム
» 2005年01月11日 01時50分 公開

端末の情報セキュリティ管理の重要性ITソリューションフロンティア:ソリューション

システム技術、組織の両面から情報セキュリティ対策を進めていくことは、現在、重要な経営課題のひとつとなりつつある。その対策上、今後、重要なカギとなるのが端末の情報セキュリティ管理である。本稿では、NRIセキュアテクノロジーズのSecureCube/PC-Checkサービスを紹介し、端末情報セキュリティの「可視化」による情報セキュリティ対策について考察する。

[工藤眞一,野村総合研究所]

セキュリティホールをついた攻撃

 2003年に大流行したウイルス「MSBlast」や今年流行した「Sassar」は、かつて主流だったトロイの木馬やワーム型ウイルスとは異なり、Windows OSのセキュリティホールを利用して感染する。このため、ウイルス対策を講じていても、定義ファイルの更新前に感染してしまうことが多く、甚大な被害が発生することも少なくなかった。

 また、悪意あるユーザーは、セキュリティホールを利用することにより、不正にPCにリモートアクセスすることができる。このため、勝手にデータが改ざんされたり、重要な情報が漏洩するなど、これまでのウイルス対策ソフトやファイアウォールソフトでは防ぎきれない危険が指摘されるようになっている。

 これらのウイルスや悪意あるユーザーからPCを守るには、マイクロソフト社のセキュリティホール対策などの最新の修正プログラムをインターネット経由でダウンロードできる「Windows Update」機能を利用して、最新のセキュリティ環境を確保することが必要となる。

 しかし、現状は、約44%ものユーザーが「Windows Update」を3 カ月に一度以下でしか実行していない。その理由として40%近くのユーザーが、「面倒だから」「特段必要と思わないから」と回答しており、その重要性が十分に認知されていないことがうかがえる(総務省「平成15年度電気通信サービスモニターに対する第2 回アンケート調査結果」による)。

 また、セキュリティホール対策だけではなく、ウイルス対策ソフト、Outlook Express、Internet Explorer、Officeなどのバージョンや各種設定状態をチェックすることにより、情報セキュリティ対策を施していくことも重要である。しかし、従来、これらを容易に実現する手段がなかったことも事実である。

端末情報セキュリティの可視化

 サーバーについては、従来から、ある程度の情報セキュリティ管理がなされてきた。これに対し、クライアントPCについては、説明してきたとおり、有効な対策が十分に行われてこなかった感がある。

 社内の情報セキュリティ管理部署が、バージョンアップや対策用の修正プログラムのインストールなどの情報セキュリティ対策を社内にアナウンスしても、実際に行われているかどうか、十分に把握されていなかったというのが実情であった。

 しかし、情報セキュリティは、ネットワーク端末のセキュリティ対策が手薄な部分から冒される。いかに情報セキュリティ管理部署が万全な情報セキュリティ対策を講じようとも、1 台の無防備なクライアントPCがあったために、ネットワーク全体が侵食されるという危険性は高いのである。

 したがって、今後は、端末=クライアントPCの情報セキュリティ管理が重要なポイントとなる。社内設置のクライアントPCのみならず、携帯PCなどのモバイル端末を含め、広範囲に点在する端末の状況を、情報セキュリティ管理部署が把握できるようにし(「可視化」)、情報セキュリティの状態の把握とアクセス制御をこまめに行う必要があるのである。

SecureCubeによる端末情報セキュリティ管理

 NRIセキュアテクノロジーズは、端末の情報セキュリティを診断・管理するSecureCube/PC-Checkサービスを提供している。これは、クライアント診断機能、セキュリティ情報提供機能、アクセス制御機能という3 つの主要機能により、端末の情報セキュリティ管理を行うものである。各クライアントPCのWindows の修正プログラムの適用状態、ブラウザをはじめとする各種設定などを診断して集中管理するこのソリューションにより、どの端末がどのような状態であるのかが一目瞭然となり、全端末の情報セキュリティの「可視化」が可能となる。

 また、このソリューションを利用すれば、OSやブラウザなどのバージョンやパッチ適用状況を診断し、管理者が全端末のセキュリティ状態を把握することもできる。そして、セキュリティ設定が不十分な端末に対して、警告メールを発信して対策実施を促すほか、ネットワークへの接続拒否などのアクセス制御により、イントラネットを防御することも可能となるのである。

「無形資産」としての情報セキュリティ

 情報セキュリティ対策については、それ自体が利益を生まず、投資効果が見えにくいため、予算がなかなかつきにくいというのが、多くの企業の実情のようである。しかし、個人情報保護法に象徴されるように、情報資産に対する意識は確実に高まっている。また、情報セキュリティに関するリスクは、かつてとは比較にならないほど大きなものとなっている。

 従来より、企業の価値を判断するなかで、無形資産の価値が、企業イメージや業績へ大きく寄与していると言われている。無形資産には、ブランド、企業文化、組織文化など、さまざまな要素が含まれる。今後、無形資産価値を高める手段のひとつとして、情報セキュリティをとらえるという発想も必要であろう。

Copyright © ITmedia, Inc. All Rights Reserved.