前回は、「Symantec Endpoint Protection 11.0」(以下SEP)の紹介をしたが、企業ネットワーク全体という観点からセキュリティを捉えた場合、こうした端末の統合的な管理が必要になってくる。個々のPCセキュリティには限界があるということを知っておくべきだろう。
PC持ち出し禁止は愚策か?
企業のITシステムはここ数年で多様化し、日本は特に情報漏洩対策ということでPCの持ち出しを一切禁止するといったルールを採用する企業も現れた。そうは言っても、こうなると業務効率が下がり生産性が落ちてくるのは当然のこと。
データを暗号化したり、たとえば前回紹介した「Symantec Endpoint Protection 11.0」などでも持ち出したPCの情報漏洩を防止できるはずなのに、なぜ事件が起きるのか? 最も大きな原因は、ユーザーが勝手に暗号化ソフトをアンインストールしたり、セキュリティソフトをオフにすることにある。
PCの持ち出しを許可して生産性を保ちつつ、ユーザーにセキュリティを低下させるような行動を取らせないようにすることが現在の課題となるわけだが、こうした問題にとり組んでいる製品が、「Symantec Network Access Control 11.0」(以下SNAC)である。
SNACの動作。ポリシーに反したPCの接続は許さない。また、各PCにSEPがインストールされていれば、ライセンスを購入するだけでSNACへの対応が完了する |
SNACは、管理者側が設定したセキュリティ設計に合致しないPCを、企業のITシステムに接続させないようにするシマンテックの製品だ。外部から社内へのインターネット経由(VPNなど)での接続、社内ネットワークへの直接の接続のいずれも、繋がる段階でPCをチェックし、そのPCが安全だと判断できるまで接続をブロックし、“自動矯正”をかける。たとえばあるユーザーが社外にPCを持ち出してセキュリティソフトをオフにして運用した場合、再度社内ネットワークに接続しようとした段階で、そのPCをブロック。矯正後、中身が安全であることを確認して初めて接続が可能になるという寸法だ。なおSNACは、Windowsに組み込まれているポリシー実施プラットフォーム「ネットワークアクセス保護(NAP)」にも対応している。
こうした、「一括したシステムでセキュリティを管理している」という姿勢は、企業間の協業が当たり前になってきた現在、ますます重要性を増している。従来のように、何らかの契約や運用既定でセキュリティを担保するのではなく、システム的に目に見える形でセキュリティを担保出来るというわけだ。これは、企業間や株主への安全性の証明として作用するであろう。
SNACはまた、導入コストが低いというのも特徴だ。ハードウェアの対応はいらず、ソフトのみでの導入が可能なのである。また、クライアントPCで動作するソフトウェア自体は、SEPの中にすでに組み込まれている点もおもしろい。SEPを導入していれば、ユーザー企業はライセンスを購入するだけで即、自社のPCをSNACの管理下に置くことが可能だ。これらの手軽さは、統合管理されたセキュリティソリューションを、50人~100人規模の企業でも手軽に導入できてしまうということを意味する。
次ページでは、SEPやSNACの賢い買い方についてレポートする。