富士フイルムは2006年後半から,グループ全体で約2万台のクライアント・パソコンを対象に,セキュリティ強化策の拡充を図っている。自社で開発した検疫ネットワークの導入を進めているほか,インテルの企業向けクライアント・パソコン用の管理技術「vPro」対応機種の導入も進めている。

写真1●富士フイルムコンピューターシステム システム事業部ITインフラ部の湯川立哉部長
写真1●富士フイルムコンピューターシステム システム事業部ITインフラ部の湯川立哉部長
富士フイルムEグループ全体の情報システムを統括する。

 富士フイルムはグループ全体で約2万台にも及ぶクライアント・パソコンを保有する。「クライアントのセキュリティ強化は重点的に取り組むべき課題」と,同社のグループ全体の情報システムを統括する,富士フイルムコンピューターシステム システム事業部ITインフラ部の湯川立哉部長(写真1)は語る。クライアント・パソコンにインストールしたウイルス対策ソフトのパターン・ファイルやセキュリティ・パッチが古いままだと,ウイルスの感染によって社内ネットワーク全体に被害を及ぼす。さらには,情報漏えいによって深刻な経営リスクをもたらす危険性がある。

 こうしたリスクを軽減するため,同社は5年ほど前からクオリティのクライアント管理ソフト「QND Plus」を使って,グループ内のクライアント・パソコンの管理を実施してきた。2006年末からは取り組みを強化。新たに検疫ネットワークを導入し,セキュリティ・ポリシーに反するパソコンを業務ネットワークに接続できなくする仕組みを取り入れた。

 検疫ネットワークの導入に加えて,より正確にクライアント・パソコンの情報を収集する施策も取った。2006年11月以降から導入するデスクトップ・パソコンは,原則インテルの企業向けクライアント・パソコン用の管理技術「vPro」対応機種を採用する方針に決めたのだ(図1)。これらの取り組みにより,セキュリティ上のリスクをできる限り回避しようという考えだ。

図1●クライアント管理の徹底を狙って検疫ネットワークやvPro対応パソコンを導入
図1●クライアント管理の徹底を狙って検疫ネットワークやvPro対応パソコンを導入

自社開発で導入コストは10分の1に

 同社が導入した検疫ネットワークは,QND PlusとDHCPサーバーを連係させることで,同社自らがシステムを組み上げた。具体的には次のような仕組みとなる。QND Plusによって集めた各パソコンのセキュリティの状態から,安全と見なしたパソコンのMACアドレスのリストを作り出す。それをDHCPサーバーが参照し,リストにないMACアドレスのパソコンに対して,業務用のネットワークに接続できないIPアドレスを割り当てる(図2)。

図2●富士フイルムが自作した検疫ネットワークのシステム
図2●富士フイルムが自作した検疫ネットワークのシステム
クオリティのクライアント管理ソフト「QND Plus」とDHCPサーバーが連携し,パソコンの接続可否を判断する。

 同社が検疫ネットを自社開発したのは,市販製品による検疫ネットワークの導入費用が高すぎたからだ。費用を見積もったところ,約15億円もかかることが判明した。自社開発したことで費用は10分の1程度に済んでいるという。既に本社への導入を完了し,今後は他の拠点にも展開予定だ。

 さらに同社は,検疫ネットワークの機能強化を検討している。ポリシーに反するパソコンを治療用のネットワークにつなぎ,セキュリティ・パッチのパターンなどをアップデートした上で業務用のネットワークに再度接続させる仕組みを現在実験中という。これも自社開発のシステムだ。

5~10%のPCの情報が取得できない

 徹底したクライアント管理を実現できているように見えるが,改善すべき点もある。「QND Plusを使っても全体の5~10%のパソコンからは情報が取得できない」(湯川部長)のだ。その多くは,QNDの管理システムが情報を収集するタイミングに関係すると同社では考えている。収集時にパソコンの電源がオフだったり,システムには登録されているが資産管理上はそのパソコンが廃棄扱いになっている,といった場合だ。

 検疫ネットワークを完璧なものに近づけるには,クライアント・パソコンの状態を正しく把握することが欠かせない。「例えば海外出張などで2週間電源を入れなかったパソコンも,情報収集のタイミングによっては業務用のネットワークにつなぐことができてしまう。電源を入れていなかった間に重要なセキュリティ関連の更新が発生していることもある」(湯川部長)。

 このようなケースに対処するために着目したのが,インテルが進める企業のクライアント・パソコン向け管理技術,vProだ。vProは,特定のCPUとチップセット,ファームウエアの組み合わせで実現される技術で,遠隔管理とセキュリティ強化のための基盤機能を提供する「AMT」と,ユーザーが使うOSとは別に管理者だけがアクセスできる専用OS環境を提供する「VT」という二つの機能を持つ(図3)。

図3●インテルの企業向けクライアントPCの管理テクノロジー「vPro」
図3●インテルの企業向けクライアントPCの管理テクノロジー「vPro」
特定のCPU,チップセット,ファームウエアを組み合わせたプラットフォームで構成。遠隔管理とセキュリティ強化の基盤機能を提供する「AMT」と,仮想マシンの基盤機能を提供する「VT」という機能を実現している。

 これらの機能によって,より強固なクライアントの管理体制を実現できる。例えば,クライアント・パソコンにインストールしたエージェント・ソフトが定期的に不揮発性メモリーにパソコンの情報を記録するので,電源オフ時にも管理者が参照できるほか,管理者は遠隔からOSを起動/終了できるようになる。このほか,専用OS部分に監視ソフトなどを組み込み,条件を満たさないパケットを自動遮断することもできる(図4)。湯川部長は「vProを活用することで,電源オフの状態のパソコンからも情報収集できる。これによって検疫ネットワークの運用精度を引き上げられるのではないか」と期待している。

図4●vProで実現可能なクライアント管理機能
図4●vProで実現可能なクライアント管理機能
AMTとVTの組み合わせにより,(1)電源オフ時にもウイルス定義のバージョンなどを確認可能,(2)バックグラウンドで動作する監視ソフトによって通信を制御可能,(3)遠隔からOSの起動/終了が可能,といった機能を実現できる。
[画像のクリックで拡大表示]