本連載では、“IT担当者”が担うべき仕事を基礎的な内容から分かりやすく解説していきます。少人数でIT機器・サービス全般を見ていたり、情報システム部門と他部門を兼務していたり、ITインフラを構築あるいは運用するノウハウを十分お持ちでない方の参考として、また、「自分は運用に必要な知識は一通り持っている」という方の“仕事内容のおさらい”として使っていただければと思います。
今回から、PCのセキュリティ対策について考えていきます。
企業全体のセキュリティを考える中で、従業員一人ひとりが利用するPCについてのセキュリティ対策も重要です。またPCは各利用者がさまざまな用途で利用するものであるため、管理者が利用者に対してセキュリティ対策を徹底させるとともに、リスク管理をする必要があります。いくつか方法がありますが、一つはPCの操作ログを取得することです。
操作ログを取っていれば、セキュリティ対策だけでなく、いざというとき自社の防衛手段にもなり得ます。例えば他社から「御社に、当社のWebサーバーに不正アクセスをした従業員がいなかったか?」といった問い合わせがあった場合に、操作ログからアクセスした形跡がないと分かれば、それによって不正アクセスがなかったことを証明できることになります。また、操作ログを取ることによって、会社の禁止事項に反する使い方をする従業員をけん制する、あるいは見つけるという意味合いもあります。
Windows PCの場合、操作ログを取得するにはActive Directoryが必要です。Active Directoryは、Windows Serverが標準で搭載している機能で、ユーザーアカウントやPCやプリンターなどのIT資産を登録して利用制限やアクセス制御を実施できます。このActive Directoryの監査ログという機能を有効にすることで、操作ログを取得できます。その際に、操作ログを保管するディスク領域を確保するなどの準備作業も必要です。現状、従業員数200~300名の企業であれば大半が使っていると思います。
操作ログは見やすいことが大事
操作ログは「ファイルにアクセスした」「印刷した」「USBメモリーに書き出した」といった形で記録されるため、ユーザーが行った一環の業務の流れではなく、PCを使っていた1つ1つの「イベント」としてしか把握できません。また、操作ログは管理サーバー上に全ユーザー分が時系列に表示されるため、管理者にとっては特定のユーザーの操作が分かりにくい状態になっています。つまり、単に操作ログを取得しただけでは、解析に非常に時間がかかるのです。ログに精通した人ならば、つながりで把握できると思いますが、そういう詳しい知見を持った人はあまりいないと思いますし、そこから詳しい解析をする場合にも、膨大な時間がかかってしまいます。
膨大な操作ログを分かりやすくするには、「ログ管理ソフト」と呼ばれるソフトウエア製品を使うのもよいでしょう。このツールを使うと、Windowsの操作ログに対してインデックスを付け、容易に検索できるようにしてくれます。例えばユーザーを指定して、「USBメモリーに書き出さなかったか」や「書き出していたのはいつか」、「USBメモリーをPCに挿したのはいつか」などを分かりやすい形で表示できます。ログ管理ソフトには、PC側にエージェントソフトをインストールすることでWindowsの基本機能では取れない種別のログの情報を記録できるものもあります。
操作ログは先ほど説明した通り、取得することは難しくありませんが、実際に管理まで行えている企業はあまり多くないように感じます。管理のための人員、ルールの作成などの検討が実施のハードルになっているように思われます。
ただし企業に求められるセキュリティ対策を考えると、操作ログをしっかり管理する必要性は今後ますます高くなっていくはずです。最初から全ての端末で実施するのが難しければ、部分導入から始める方法もあります。例えば「マイナンバー対応のために、まずはマイナンバーを扱う端末だけ操作ログを管理する」といったやり方です。本連載の第3回で、複数のログを相関的に分析することで悪いものを見つけだすSIEM(Security Information and Event Management)について紹介しましたが、SIEMにはPCの操作ログがほぼ必須と考えてよいでしょう。