ポリシー違反に潜む”まさか”の感染リスクを、強制的になくす対策は!?

プレス機械やフォーミングマシンなどの製造・販売を手掛ける装置メーカーZ社では、設計/開発や製造・販売管理、顧客管理、財務会計など、ほぼすべての業務プロセスがITシステム上で稼動しています。また、これに伴って技術情報や顧客情報といった多くの情報資産を扱うため、「セキュリティ対策」には気を遣ってきました。しかし、”落とし穴”は思わぬところに存在していたのです……

＜想定企業＞
民生機器製造業 Z社　従業員数:約300名

面倒くさくて”ポリシー違反”?「ウイルス対策ソフト」と「ポリシー策定」だけではダメだった…

多くのITシステムと情報資産を抱える同社にとって、システム異常や情報漏えいなどの「セキュリティインシデント」は大きなリスク。
“事故”か”故意”かに関わらず、是が非でも回避しなければなりません。

そこで同社では、ウィルス対策／セキュリティソフトの導入はもちろん、小まめに修正パッチを配布し、さらに綿密なセキュリティポリシーも策定、運用していました。

ところがある日、社内ネットワークにウィルスが拡散する事態が発生したのです。幸い、このときは早期に対策を打つことができたため事なきを得ましたが、一歩間違えれば重大なセキュリティ事故につながる事態でした。

調査の結果、感染源は外回りの営業が持つ”ポリシー違反”の端末であることが分かりました。同社情報システム室長のB氏はこう語ります。

「話を聞くと、”面倒くさい”という理由で、OSの修正パッチ適用やウィルス対策ソフトのパターンファイル更新を無視していたそうです。そしてウィルス感染に気づかずに社内ネットワークに接続し、拡散したのです」

“個人任せ”がセキュリティホールに!「1台1台チェックする時間はない・・・」

この一件は、対策ソフトを導入し、細かなルールを定めているだけでは、セキュリティインシデントを防げないことを証明するものでした。優れたソフトや厳密なポリシーも、管理者側がコントロールできなければ意味を持ちません。

「詰まるところ、”個人任せ”であることが問題だったのです。ポリシー違反のPCはほかにも存在すると思われましたし、経営陣からは再発防止を強く求められていました。とはいえ、当社の情シス部門はたった2人。全社のPCを1台1台しらみ潰しに確認していくわけにもいきませんでした」(前出B氏)

課題・問題のポイント
■　セキュリティ対策に注力していたにもかかわらず、社内ネットワークがウィルスに感染
■　”個人任せ”の運用がポリシー違反PCを放置し、ウィルス感染の原因に
■　すべてのPCにポリシーを徹底させたいが、1台1台確認するのはリソース面で非現実的

PC不正利用を「自動検疫」し、ポリシー違反PCを”強制的”に「制御」!

情報収集を続けていた情報システム室長B氏は、とある展示会でクオリティソフト社のISM CloudOneと連携しているネットワークの検疫ソリューションに興味を持ちました。

「管理している端末のパッチの適応状況やウイルス対策ソフトのパターンファイル更新状況などが一目瞭然」という特長に強く興味を持ったB氏は、さっそく詳しく話を聞くことに。B氏が注目したのは、ポリシー違反のPCをネットワークから切り離すことができる点でした。

このソリューションは、適切な更新が行われていない”ポリシー違反”の端末や、私物や部外者のPCなど”管理対象下にない”PCを発見した場合には、ネットワーク接続を自動遮断することが可能です。遮断された端末は、ISM CloudOneの管理コンソール上で見ることができます。また、規定したポリシー適応されれば、ネットワークへ自動で接続するので、手遅れになる前に是正・対策を施す運用が可能です。

ISM CloudOneは、自動脆弱性診断という特徴的な機能があります。この機能は、脆弱性が狙われやすいAdobe製品やブラウザーといったソフトウェアのバージョン管理やOSのセキュリティパッチの適応状況・ウイルス対策ソフトの定義ファイルの適応状況の可視化し、是正が必要な端末をあぶり出すことができます。
さらに、アプリケーションの起動やWebサイトへのアクセスなども管理者側で制限できるため、チャットツールやストレージサービスなど、情報漏えいリスクが高く、ポリシーで禁止されているアプリケーションの利用を未然に防ぐことができます。

「自動脆弱性診断は工数をかけずに、”個人に依存”した運用から抜け出し、セキュリティ対策に実効性を持たせられると期待できました」(前出B氏)

“個人任せ”だったセキュリティ対策を、管理者側のコントロール下へ

B氏はその後、30日間のトライアルで実際の機能を検証。その有効性を確認し、ほどなくISM CloudOneの採用を決定しました。

導入の結果、社内の多数のPCにおいて、セキュリティパッチやウィルス対策ソフトのパターンファイル更新が正しく設定されていないことが分かりましたが、速やかに処理を施し、ポリシーに適合させることができました。

また、適合状況がいつでも管理者が把握、是正できるようになったことで、利用者側のセキュリティに関する意識・リテラシーの変化にもつながっているようです。

解決後の効果・結果

■　「自動検疫」によってポリシー違反PCを特定。個人任せから管理者主導のセキュリティ統制へ移行
■　ポリシー違反や管理対象外PCに対する「強制制御(ネットワーク遮断など)」が可能に
■　「検疫」や「強制制御」の自動化により、工数をかけずにセキュリティポリシーを徹底

「セキュリティソフトさえ導入していれば安心、という思いがあったので、ポリシー違反のPCが思いのほか多いと知ったときは驚きました。しかし、ほとんど工数をかけることなく、実効性のあるセキュリティ統制を構築、運用することができ、ほっとしています。これからもIT統制の重要な基盤として活用していきたいと思っています」