情報漏えい対策もバッチリ

不正なクライアントやUSBキーをブロック

2008年05月21日 16時00分更新

文● 大谷イビサ（ネットワークマガジン編集部）

前回はSymantec Endpoint Security（以下SEP）のアンチウイルスやファイアウォールなどの機能を見てきた。ここまでは古典的なクライアントセキュリティの機能といえる。SEPの本領は、さらにアプリケーションやデバイス制御、さらに情報漏えい対策の切り札である検疫ネットワークにも対応している点である。

不正なアプリケーションとデバイスを禁止する

　SEPの目玉の機能の1つが、新たに搭載されたアプリケーションとデバイスの制御機能である。これは従来、専用の「情報漏えい対策ソフト」と呼ばれていたソフトウェア等で搭載されていたもので、文字通りアプリケーションやデバイスの利用を管理者側から制御できる機能。プロアクティブ脅威検出の機能の1つであり、昨今のコンプライアンス（法令遵守）の流れを受け、ユーザーのニーズもきわめて高いといえよう。

　ポリシーの設定は簡単だ。SEPMの「ポリシー」メニューの「ポリシーの表示」から「アプリケーションとデバイスの制御」を選択し、既存のルールを変更するか、新規に追加すればよい。

画面1　部署やグループごとにポリシーを設定できる

　アプリケーション制御では「すべてのリムーバブルディスクを読み取り専用にする」や「クライアントファイルとレジストリのキーを保護する」といった初期設定があるので、これらを有効にする。「追加」ボタンを押すと、新規のルールセットが追加できる。アプリケーションの実行を禁止するのであれば、「照合するプロセス」にプログラムのパスやフィンガープリントを選択する。

　ハードウェアの制御であれば、利用を禁止（許可）するデバイスを選択すればよい。最新版では、デバイスIDを用いて同じUSBメモリでも利用が許可される物と禁止される物をそれぞれ指定することができるという。

画面1　ハードウェア制御では、接続するデバイスを選択する

セキュリティポリシーを調べるネットワークアクセスコントロール

　SEPのエージェントには、ネットワークに接続する際にあらかじめ規定されたセキュリティポリシーに適合するかをチェックする「ネットワークアクセスコントロール（NAC）」の機能が含まれている。これは俗に検疫ネットワークと呼ばれる機能で、ネットワークに接続してくるPCのセキュリティ状態をチェックし、要件を満たさないPCの接続を拒否することができる。

図1　セキュリティポリシーに適合しないクライアントの接続を禁止する

　ただし、シマンテックのNAC（SNAC）は他のSEPの機能と異なり、別途ライセンスを購入することで利用可能になる。NACの環境を構築するには、IEEE802.1x方式やDHCP方式などの、別途エンフォーサと呼ばれるアプライアンスが必要となる方式と、アプライアンスは使用せず、SEPの環境だけですぐに使用することのできる、セルフエンフォースメント方式がある。

　セキュリティポリシーのチェックは「ホストインテグリティチェック」と呼ばれており、ネットワークへのログイン時以降も定期的に行なわれる。ホストインテグリティチェックの項目はウイルス対策ソフトやクライアントファイアウォール起動の有無、定義ファイルやOSのパッチ・サービスパックの更新状況、特定のファイルの有無、レジストリ値など多岐に渡っており、条件を満たさない場合は、ファイアウォールの「隔離ポリシー」を自動的に適応し、パッチや定義ファイルのアップデート以外の通信は遮断してしまう。クライアントとサーバの連携によって、まさに実現可能な機能といえよう。