本文へジャンプ

ミドルウェア

uVALUE 実業×IT

Hitachi

*
株式会社リクルートキーマンズネット(新規ウィンドウを開く)に2008年09月16日に掲載された記事より転載掲載しています。
サービス内容、料金などは、掲載日または更新日時点のものです。
JP1体験談 〜不正PCの接続防止で始めるセキュリティ対策!危険な持ち込みPCが簡単に発見・排除できました!
■ 危険な持ち込みPC、見逃していませんか?

企業規模を問わず、今やあらゆる企業に欠かせないセキュリティ対策。多くの企業がメディアの持ち出しを禁じたり、ウイルス対策ソフトを導入したりといった対策を実施しています。しかし、勝手に社内に持ち込んだ会社以外のPCを、ネットワークに接続できる環境になっていないでしょうか?
社内のセキュリティポリシーを満たしているか分からない社外のPCが、社内ネットワークに接続できる環境は、情報漏洩やウイルス被害の原因につながる恐れがあり、とても危険だということをしっかり認識しなければいけません。

■ 検疫システムの導入は難しい?

オフィスのIT資産を正確に把握して適切に管理できていれば、持ち込みPCの脅威は軽減します。つまり、社内のネットワークに接続できるPCを決めて、それ以外のPCは接続させないということです。
そのためにも「検疫システム」は有効と考えられていますが、一方で、 「導入・運用が難しそう」「ネットワークを変えるなら導入は無理」 といった声があるのも事実です。

■ 「簡単」が導入のキーワード

そこで今回は、難しいと考えられがちな「未許可PCの排除」を簡単に行える日立製作所のJP1をご紹介します。導入から操作、発見に至るまで「簡単」に行えるJP1。具体的にどのようなものなのか、その導入体験談をご紹介しましょう。

今回、JP1の導入体験談を伺ったのは、従業員約300名の中堅企業のシステム管理者、荒木氏。ウイルス対策やファイアウォールなど、一般的なセキュリティ対策は行っていましたが、持ち込みPCを接続する社員が減らない点が悩みとのことでした。

■ 問題発生の前に、持ち込みPC対策をしたい

基本的なセキュリティポリシーでは、持ち込みPCは禁止しています。でも、色々と理由をつけて自宅のPCを持ち込んで使う社員がいるようで…。それがどの部署のどのPCなのかは分からないのが大きな問題でした。
社外では、会社のポリシーが通用しませんから、どんなソフトを入れているか、パッチを当てているか分かりません。それに、万一、ウイルスに感染したPCが社内に接続したら…そう考えるとゾッとします。
それから、取引先など社外の人がPCを持ち込んで、社内LANに接続することも心配でした。

■ ネットワーク変更が必要だったり、操作が難しいソフトは無理

持ち込みPC対策はネットワーク構成を変えなければならず労力的にもコスト的にも難しいと考えていました。それに、管理ソフトが使いこなせるかも不安でした。そんな時、日立のJP1ならネットワーク構成を変えずに、簡単に導入できると紹介されました。

このページの先頭へ

ネットワーク構成を変えることなく簡単に導入できるというJP1。1台の管理用PCにJP1をインストールすればネットワーク監視の準備は完了です。荒木氏によると、その後の、監視の開始や接続機器のリスト作成も、簡単な操作で設定できたそうです。では、その流れを3つのSTEPに分けて見てみましょう。

まずは監視

ネットワーク監視の開始は簡単でした。


接続PCの状況は…まだ見えにくい

[環境設定]の画面から、[ネットワークの監視を行う]を選んで更新するだけです。これで、ネットワーク機器情報の収集が開始されます。

接続機器をチェック

[接続機器]画面を表示すると、ネットワークに接続された機器情報が収集され、接続機器一覧が表示されます。


機器情報の収集開始
少しずつ見え始めた

――監視を始めて1〜2週間後、クライアントPC、サーバ、ルータなど、ネットワークに接続された機器のリストがほぼ完成しました。


接続機器リストが完成!
常に最新の接続状況が
見えるようになった

このページの先頭へ

簡単に接続機器リストを作った荒木氏。リストをもとに、まずは接続を許可するPCを登録し、接続できるPCを限定します。次に行うのは、持ち込みPCなど未許可PCのネットワークからの排除。もちろん、いずれも簡単な操作でできたそうです。

接続許可PCの登録

JP1で作った接続機器リストと、既存の管理台帳とを照合しながら接続を許可するPCの登録をしました。
操作は、接続機器画面の[選択]の欄にチェックして、あとは[許可機器登録]ボタンをクリックするだけだったので簡単でした。


接続を許可するPCを登録
不許可の機器を排除

接続を許可するPCの登録がすべて完了した後、登録していない、未許可PCはすべてネットワークから排除することにしました。
[環境設定]画面の[排除モード]で、[不正機器を検出したら排除する]を選択すれば、未登録のPCはすべてネットワーク接続できなくなります。つまり、今、ネットワークにつながっている持ち込みPCもすべて排除できたわけです。こんなに簡単に設定できるとは思いませんでした。


接続を許可しなかったPCは、
すべてネットワークから排除
このページの先頭へ

危険な持ち込みPCをネットワークに接続させない環境作りに成功した荒木氏。しかし、今後はより高度なセキュリティ環境の構築を検討しているという。最後に、荒木氏の今後の展望を紹介します。

■ 「セキュリティ対策が不十分なPC」の治療

社内にあるPCの中には、長期間起動していないためパッチが当たっていない…というような、社内のセキュリティポリシーに適合していないPCが存在してしまいます。こうしたPCを、起動の際に社内のネットワークには接続せずに、強制的に「セキュリティ対策サーバ」に接続するような環境にしたいと考えています。セキュリティ対策サーバ側でパッチを適用するなど「治療」を行い、ポリシーに適した状態になったら、いつもどおり社内のネットワークに接続可能となるわけです。
今は、監視と不正なPCの排除という、1つめのステップをクリアしたところなので、次のステップとしては「治療」も可能なシステムの構築を検討しています。

このページの先頭へ

関連サイト