マイクロソフト
Chief Security Advisor
高橋 正和

 これまで当コラムでは,Windows Vistaのセキュリティ機能を紹介してきた。ただシステム管理者の視点に立つと,パソコン(PC)単体のセキュリティだけを考えてもあまり意味がない。管理しているネットワークやセグメントをどう守るかという視点が必要である。そこで今回から,このような視点で改めてセキュリティを見ていくことにする。

通達型ではPCを守れない

 自社のセキュリティ対策に対する最大の不満は?――マイクロソフトは昨年12月,ITpro上でこんなアンケート調査を実施した。最も多かった回答は,「従業員のモラルやセキュリティに対する認識が低いこと」で61%に達した。さらに,不満を持っている企業の46%はセキュリティ対策として,「情報システム部や総務部などの担当部署からの指示に従い,各個人がすべて管理している」という結果が得られた。

 「情報システム部や総務部などの担当部署からの指示に従う」という形態は,いわゆる「通達」を基本とした運用だと考えられる。大きな企業はそうでもないかもしれないが,通達を基本としたIT統制は,よく見る形態である。通達を中心とした運営は,簡単かつ柔軟で,企業における総務的な運用との親和性も高く,必要不可欠なものだと思う。だが半面,「(技術的な)強制力がない」,「(技術的な)確認の手段がない」ことが問題となるケースが少なくない。例えば「重要なセキュリティの問題が対処されていますので,至急Windows Updateを実施してください」,「新しいウイルスが感染を広げています,至急パターン・ファイルを更新してください」といった緊急対処を通達する場合だ。アンケート結果の「従業員のモラルやセキュリティに対する認識が低い」には,こうした「通達しても対応してくれない」,「通達の内容に対する理解が低い」といった現状が表れているように思う。

 システム管理者にとっては,パッチ適用やパターン・ファイル更新を,できるだけ早く100%(もしくは,あらかじめ決めてある値)まで実施させることが重要になる。ところが実際には,様々な理由で利用者が対応できないことがある。出張中で不在のケース,仕事が立て込んでいて作業を見送っているケース,そのまま忘れてしまうケースなどが考えられる。すっかり終わったと勘違いしているケースも少なくないだろう(図1)。

図1●通達型のセキュリティ対策の問題点
[画像のクリックで拡大表示]

 緊急対処の通達に限らず,セキュリティ・ポリシーの運用も通達型である場合が多い。例えば以下の項目は,ポリシーもしくはプロシージャとして,ごく一般的なものではないだろうか。

  • 「パスワードは,英数記号を組み合わせた8文字以上とし,90日以内に変更とすること」
  • 「会社で支給したPC以外は,社内ネットワークに接続しないでください」
  • 「guestアカウントは無効にすること」

 これも,確実に実施させる方策がないと,実際のところどうなっているのか分からない。アンケート調査で確認しても,事実が正しく反映されているとは限らない。よく使われるキーワードで言うと,ITガバナンスが効いていないとか,習熟度(マチュリティ・レベル)が低い,ということになる。

マチュリティ・モデルとIT運用の実態のミスマッチ

 日本におけるIT習熟度モデル(マチュリティ・モデル)について考えると,IT運用の現場とのバランスの悪さを感じるところがある。筆者が前職で顧客のセキュリティ検査を行った経験では,サーバーやネットワークは多くの人が利用するから重要だが,PCは利用者一人が困るだけなので優先度が低いと考えている場合が少なくなかった。「PCの1台1台までは,面倒をみられない!」といったところだ。

 そもそも日本の企業ユーザーには,内部ネットワークの各PCのセキュリティをきちんとコントロールしなければならないという考えは,あまりないのかもしれない。セキュリティ検査の際に,よく顧客と議論になったのが,内部セグメントのセキュリティ上の問題への対応についてである。「ファイアウォールの中で安全だから対応する必要はない」という観点から,対策を不要と考える方も少なくなかった。

 ある有識者の方と議論している際に教えて頂いたのだが,日本のITはOA(オフィス・オートメーション)の考え方から始まっており,経営戦略ツールという考え方に至っていない。このため,組織全体での取り組みにつながりにくいのではないかという分析もあるようだ。

 誰が指揮を執るのかという問題も,PC群の管理を難しくしている。予算の出所の違いや,組織的な制限,問題が発生した際の責任の所在,対策を実施するリソースの確保など,考えるべき課題は少なくない。

 とはいえ,PCをグループとして扱うことは様々な点で意義がある。次回からはデータ保護,ID管理,高度化する攻撃への対策など,具体的なテーマを題材に,たくさんのPCのセキュリティ管理と,PCを群(グループ)として考えた場合のセキュリティ管理の違いについて解説していきたいと考えている。