株式会社ノークリサーチ
厳しい経済環境が続く中、IT 投資を極力抑えようとする中堅企業も少なくない。だが、
そうした状況下においても多くの中堅企業が積極的に取り組んでいるIT 分野がある。
それ
はセキュリティ関連だ。外部からの攻撃や不正侵入、社内の不正行為による情報漏洩など、
企業の存続を脅かす事象が実に様々だ。こうした脅威は企業規模に関係なく降りかかって
くる。
例えば、データセンタの活用であれば「ウチの会社は大企業みたいにサーバがたく
さんあるわけじゃないから必要ない」と言えるが、「大企業じゃないから攻撃や漏洩の心配
はない」とは決して言えない。
そうした背景もあって、中堅企業は業績が厳しい状況でも
セキュリティ対策に真剣に取り組んでいる。
しかし、セキュリティ対策といっても非常に幅が広く、全てを網羅することはさすがに 難しい。そこで、多くの中堅企業が重点的に取り組んでいるセキュリティ対策とは何か? をまず見てみることにしよう。
以下のグラフは年商5 億円以上〜500 億円未満の中堅・中小企業に対し、「今後の投資を 予定しているセキュリティ関連対策」(複数回答可)を尋ねた結果を年商別に集計したもので ある。
Web サイトが最終的な攻撃の対象となる「Gumblar」(ガンブラー)の被害が大きく 報じられたこともあり、「Web アプリケーションへの攻撃に対する防御策」が重要であると 思われた方も多いかもしれない。確かに、対外的にWeb サイトを公開している場合は必須 の対策といえる。
だが、実際には「社員の故意による情報漏洩の防止」と「クライアント PC のマルウェア感染による情報漏洩防止」が他の対策と比べて多く挙げられていることが わかる。
この二つはいずれも個々の社員が日々使用するクライアントPC を起点とする情報 漏洩に関するものだ。セキュリティ対策というと、どうしてもサーバに目が行きがちだ。 しかし、クライアントPC は台数も多く、社員が取引先などの個人情報を保存している可能 性も高い。「情報漏洩の発生源となりうる場所の数」という観点ではクライアントPC への 対策が極めて重要といえる。
「クライアントPC のマルウェア感染による情報漏洩防止」については、多くの中堅企業 が既にマルウェア対策ソフトウェアを各クライアントPC に導入している。この点について はアップデートなどで継続的な投資が必要だが、新たに対策が必要という状態ではないと いえるだろう。
一方、深刻なのは「社員の故意による情報漏洩の防止」である。以下のグラフは年商5 億円以上〜500 億円未満の中堅・中小企業に対し、「社員の故意による情報漏洩の防止」の ために実施している対策内容を尋ねた結果である。
いずれの年商帯においても半数近くが「セキュリティポリシーの徹底(特にシステム的な 対処は実施しない)」という状態であることがわかる。ただし、社員に対してポリシー遵守 を訴えるだけでは「性善説」での対策に過ぎない。
今後、業務効率化の過程で派遣社員や アルバイトといった非正規社員を活用すべき場面も出てくるだろう。そうした時に強制力 のない「ポリシーの徹底」という手法で情報漏洩を防止するという考え方はリスクが高い といわざるを得ない。
また、既に多くの企業が導入しているマルウェア対策ソフトウェア は悪意のあるプログラムの動作を監視/制御するものであり、ユーザ自らの操作に対しては 効力を持たない。つまり「内部からの情報漏洩」という脅威に対して、中堅企業の多くは 有効な対策を講じられていないというのが実態だ。
こうした時に有効なのが「クライアントPC 管理ツール」である。
クライアントPC 管理 ツールというと、ソフトウェアの棚卸を行うための「資産管理」を思い浮かべる方も多い かもしれない。だが、昨今のクライアントPC 管理ツールは資産管理に加え、クライアント PC に自動でアプリケーションやパッチを配信する「運用管理」や、情報漏洩に繋がる不正 なアプリケーション(Winny など)のインストールや起動を禁止するといったセキュリティ 関連の機能まで備えるものもある。
さらに最近では個々の社員がクライアントPC 上でどの ような操作をしたか?を監視し、情報漏洩の恐れがある操作を検知して管理者に通知する といった機能を持つものも登場してきた。こういった最新のクライアントPC 管理ツールを 活用すれば、「内部からの情報漏洩」を効果的に防止することができるわけだ。
では、どのようなクライアントPC 管理ツールを選べば良いだろうか?
ユーザ企業の多く は「とにかく値段が安く、機能が豊富なもの」を選んでしまいやすい。セキュリティ対策 は抜け道がないことが重要だ。そのため、数多くの機能を持っていることが一番の安心に 繋がるという心理ももっともだろう。だが、単に機能が多ければ良いというわけではない。
例えば、とにかくたくさんの機能を搭載し、個々の社員がいつどんな操作をしたのか?を 詳細にログ記録できる製品があったとしよう。確かに監視対象となる情報量は非常に多い。 しかし、一方で管理者には以下のような問題が発生する。
問題1:情報量が多すぎて、日々の運用中で何を優先して対処すれば良いのかわからない
問題2:操作ログ容量が膨大になり、ログを保存するためのデータベース投資が負担となる
クライアントPC 管理ツールを導入する目的は単に「データを溜めること」ではない。監視 の結果得られた様々なデータを元に、管理者が適切な対処を行って始めて効果を発揮する。
例えば、社外秘文書をファイルサーバからダウンロードし、USB メモリにコピーしようと した操作ログがあったとすれば、それが最終的のどの社員の行為なのかを突き止め、その 社員に注意/警告を促す必要がある。そのためには蓄積されたデータが管理者にとって閲覧 しやすいものでなければならない。どんなに機能が多くても、結果を読み取るために専門 的な知識を要するのでは、見落としなどのリスクが生じてしまう。
クライアントPC 管理ツールの中には操作ログを蓄積するために別途データベース製品を 必要とするものもある。操作ログの容量が増えていくのに応じて、データベース側も適切 に管理/運用する必要があるわけだ。当然、データベース製品にかかるコストや管理/運用を 行える人材を確保するといった手間がかかってくることになる。
このようにクライアント PC 管理ツール製品の選択を間違えると、「管理ツールを管理するための負担」に苦慮する という本末転倒な結果となってしまう。これを防ぐためにツールを選ぶ時には機能の多い/ 少ないだけでなく、以下の二点を特にチェックすると良いだろう。
管理者が必要な情報を迅速に閲覧できる「ポータル画面」を備えているか?
(特に管理者自身がポータル画面上にどんな情報を掲載するかを選べることが重要)
操作ログを保存する仕組みを単独で備えており(別途データベースなどが不要)、 データ量が増えた時にも自動的にバックアップないしはアーカイブし、運用管理 に手間がかからない仕組みを備えているか?
この二つのポイントを抑えたPC 管理ツールの例が日立製作所の「Hitachi IT Operations Director(新規ウィンドウを開く)」である。
大企業で多くの実績を持つ運用管理ミドルウェアである「JP1」 を擁する日立製作所が中堅・中小企業向けに新たに展開する「Hitachi IT Operations シリ ーズ」の一つだ。「JP1 Ready Series JP1/Desktop Navigation」の後継という位置付け でもあり、同製品を利用中のユーザ企業は「Hitachi IT Operations Director」にアップ グレードすることが可能だ。
中堅企業におけるPC 管理ツール活用は機能の豊富さのみを重視するあまり「管理ツールを 管理する負担」が大きくなり、導入したツールを十分に使いこなせないという状況に直面 している。だが、情報漏洩の脅威はそうした状況を待ってはくれない。「導入して終わり」 ではなく、本当に使いこなせるPC 管理ツールとは何か?という視点を持つことが大切だ。 本稿がその参考となれば幸いである。
