前回はSymantec Endpoint Security(以下SEP)のアンチウイルスやファイアウォールなどの機能を見てきた。ここまでは古典的なクライアントセキュリティの機能といえる。SEPの本領は、さらにアプリケーションやデバイス制御、さらに情報漏えい対策の切り札である検疫ネットワークにも対応している点である。
不正なアプリケーションとデバイスを禁止する
SEPの目玉の機能の1つが、新たに搭載されたアプリケーションとデバイスの制御機能である。これは従来、専用の「情報漏えい対策ソフト」と呼ばれていたソフトウェア等で搭載されていたもので、文字通りアプリケーションやデバイスの利用を管理者側から制御できる機能。プロアクティブ脅威検出の機能の1つであり、昨今のコンプライアンス(法令遵守)の流れを受け、ユーザーのニーズもきわめて高いといえよう。
ポリシーの設定は簡単だ。SEPMの「ポリシー」メニューの「ポリシーの表示」から「アプリケーションとデバイスの制御」を選択し、既存のルールを変更するか、新規に追加すればよい。
アプリケーション制御では「すべてのリムーバブルディスクを読み取り専用にする」や「クライアントファイルとレジストリのキーを保護する」といった初期設定があるので、これらを有効にする。「追加」ボタンを押すと、新規のルールセットが追加できる。アプリケーションの実行を禁止するのであれば、「照合するプロセス」にプログラムのパスやフィンガープリントを選択する。
ハードウェアの制御であれば、利用を禁止(許可)するデバイスを選択すればよい。最新版では、デバイスIDを用いて同じUSBメモリでも利用が許可される物と禁止される物をそれぞれ指定することができるという。
セキュリティポリシーを調べる ネットワークアクセスコントロール
SEPのエージェントには、ネットワークに接続する際にあらかじめ規定されたセキュリティポリシーに適合するかをチェックする「ネットワークアクセスコントロール(NAC)」の機能が含まれている。これは俗に検疫ネットワークと呼ばれる機能で、ネットワークに接続してくるPCのセキュリティ状態をチェックし、要件を満たさないPCの接続を拒否することができる。
ただし、シマンテックのNAC(SNAC)は他のSEPの機能と異なり、別途ライセンスを購入することで利用可能になる。NACの環境を構築するには、IEEE802.1x方式やDHCP方式などの、別途エンフォーサと呼ばれるアプライアンスが必要となる方式と、アプライアンスは使用せず、SEPの環境だけですぐに使用することのできる、セルフエンフォースメント方式がある。
セキュリティポリシーのチェックは「ホストインテグリティチェック」と呼ばれており、ネットワークへのログイン時以降も定期的に行なわれる。ホストインテグリティチェックの項目はウイルス対策ソフトやクライアントファイアウォール起動の有無、定義ファイルやOSのパッチ・サービスパックの更新状況、特定のファイルの有無、レジストリ値など多岐に渡っており、条件を満たさない場合は、ファイアウォールの「隔離ポリシー」を自動的に適応し、パッチや定義ファイルのアップデート以外の通信は遮断してしまう。クライアントとサーバの連携によって、まさに実現可能な機能といえよう。
デフォルトでは2分ごとにチェックするが、チェック自体はSEP(もしくはSNAC)のエージェントが行なうため、ネットワークに負荷をかけないでチェックできる。SEPの機能を活かして、さまざまな使い方が実現できる。これについては次回以降で見てみよう。
この連載の記事
-
第12回
TECH
どうする?USBメモリによる情報漏えいやウイルス感染 -
第11回
TECH
気をつけよう!甘い勧誘とSNS、USBメモリ -
第10回
TECH
HDDやUSBメモリへのアクセスを制御する「DeviceLock」 -
第9回
TECH
セキュアUSBメモリを作れるInterSafe Secure Device -
第8回
TECH
トレンドマイクロ、USBメモリに対応した情報漏えい対策 -
第7回
TECH
デジターボ、2500円からの外部記憶メディア制御ツール -
第6回
TECH
USBメモリへの書き出しを制限する「eX WP Ver 4.0」 -
第5回
ビジネス
勝手に消える、移せない 安全USBメモリが富士通から -
第5回
TECH
キヤノンIT、USBウイルス対策強化のESET Smart Security発売へ -
第4回
TECH
ライフボート、USBメモリーからの情報漏えいを防ぐ「メディアシールドPro」発表 -
第3回
TECH
日本でも広まるUSBワームの恐怖 - この連載の一覧へ