ITpro Special
週間WEEKLY ITpro Special ITpro

エージェントレスで端末管理を自動化

経済産業省/IPA(独立行政法人 情報処理推進機構)が策定した「サイバーセキュリティ経営ガイドライン」では、企業の経営者自らが率先してサイバーセキュリティ対策に取り組むべきことを求めている。そうした対策の基本となるのが、システム全体のセキュリティポリシーへの準拠状況を検証し、違反端末を検出、修正あるいは排除し、正常に保つための仕組みだ。そのようなニーズに応える製品として、同ガイドラインに準じた対策強化を目指す企業の間で大きな注目を集めているのが、ソリトンシステムズの「CounterACT(カウンターアクト)」である。

セキュリティポリシーに照らした
端末資産の状況可視化が重要

荒木 粧子 氏
株式会社ソリトンシステムズ
マーケティング部
エバンジェリスト
荒木 粧子 氏

 2015年12月28日、経済産業省およびIPAの手により「サイバーセキュリティ経営ガイドライン」が公表された。同ガイドラインでは、今日、サイバーセキュリティ対策に向けた取り組みが企業経営の最重要課題の一つになっているという状況認識に立ち、経営者自らがそのリーダーシップで積極的に対策に向けた取り組みを推進していくことを求めている。その具体的な内容については、サイバー攻撃から企業を守るうえで経営者が認識すべき「3原則」、および対策の実施に向けて経営者がCISO(最高情報セキュリティ責任者)などの担当幹部に指示すべき「重要10項目」を骨子としている。

 ここではその詳細に立ち入ることは避けるが、それら重要10項目のなかに「経営戦略を踏まえて守るべき資産を特定すること」、および「改善が図られるようPDCAを実施し、経営者への報告、ステークホルダーへの開示を行うこと」が要件として挙げられている点は強調しておきたい。「これら要件を満たすうえで不可欠となるのが、自社のセキュリティポリシーに照らした、端末資産の状況把握であり、その確実かつ継続的な実践を支えるフレームワークの確立にほかなりません」とソリトンシステムズの荒木粧子氏は語る。同社が提供する「CounterACT」は、そうした要請に応える製品だ。

エージェントレスによる運用で
管理者の作業負荷を大幅削減

 CounterACTは、企業ネットワークに接続している端末において事前に設定したセキュリティポリシーへの準拠状況を自動的に検証するための仕組みを提供する。セキュリティポリシーは、例えばOSやソフトウエアの脆弱性をふさぐための各種パッチが適用されているか、アンチウイルスソフトのパターンファイルが最新の状態にアップデートされているか、などだ。

 「一般にこうした機能は、資産管理ツールでも提供されているケースが多いのですが、それらの製品のほとんどは端末側へのエージェントのインストールを前提としています。それに対し、CounterACTはエージェントレスで端末状態の検証・可視化と、不正端末の検知を自動化できることが最大の特長です」と荒木氏は紹介する。

 CounterACTではWindowsの管理者アカウントを利用したポリシーチェックを行っている。エージェントを配布する必要がないため管理者の負荷を大幅に削減できるほか、あらかじめ想定されていない、未知の端末の接続に対しても検証対応が可能となっている。

 しかも、ポリシーに違反した端末があれば、速やかに検出し、しかるべき対応を自動で行える。接続時/定期など端末チェックのタイミングを任意に選択できるほか、所定のOSのバージョンやパッチ、パターンファイルの更新有無、稼働アプリケーションなどを含めた実に多彩な項目によるチェックが可能だ。さらに、ポリシー違反が検出された際にもアラートや修正方法の通知をはじめ、パッチやパターンファイルの強制適用、通信の切断など、違反内容に応じて多種多様なアクションをとれる。

 これらのポリシーチェックの仕組みは、FlashやJavaなどのアプリケーションの脆弱性対策としても有効だ。

 例えば、昨今話題となっているランサムウェアにはFlashの脆弱性を悪用するものもある。このように緊急性の高い脆弱性が発表された際に、いち早く脆弱性を見つけ、修正パッチを適用する手段としてCounterACTを利用するケースも多い。

CounterACT
違反PCには、修正方法を知らせ、アップデート用通信のみを許可したり、強制的に修正を実施(AntiVirusサービス起動、ウイルス定義ファイルの強制アップデートなど)
[画像のクリックで拡大表示]
中山 聡子 氏
株式会社ソリトンシステムズ
マーケティング部
中山 聡子 氏

 「例えば、通信の切断を行うといった際にも、対応するスイッチと連携させて実現することが可能ですし、TCP RSTを利用して通信を終了させるという方法も選べます。これならネットワークの構成を変えたり、スイッチやルーターに別途何らかの設定を行うといった必要もありません」と荒木氏は語る。

 またこれに関しソリトンシステムズでは、CounterACTと連携する小型アプライアンス「NetAttest LAP」を用意。CounterACTが直接監視できない、遠隔地の拠点などにおけるPCの接続検知やブロックが行えるような仕組みも提供している。

 そのほかにもCounterACTは、FireEyeやPalo Alto Networksの「WildFire」などATD(Advanced Threat Detection)製品との連携も可能だ。「これらATDツールで何か怪しいファイルの存在を検知したときに、それをCounterACTに通知します。CounterACTが当該端末の内容を検証して、例えば端末内で稼働している怪しいプロセスを終了させたり、通信をブロックするなど、様々なアクションをとらせることができます」と説明するのはソリトンシステムズの中山聡子氏だ。

拠点のサマリ
[画像のクリックで拡大表示]

大手企業をはじめ多くのユーザーが
サイバーセキュリティ対策に活用

 既にCounterACTの採用により、サイバーセキュリティ対策において大きな成果を享受している企業も多い。例えばある企業では、セキュリティレベルの低い端末を全社LANから排除するため、いわゆる“検疫システム”を導入していたが、ネットワークからシャットアウトされた問題のある端末については、ユーザー自身がパッチの適用やパターンファイルの更新などを実施しなければならず、その作業負荷の増大が問題になっていたという。

 「加えて、例えば朝の始業時など、端末のネットワーク接続時に実行されるチェック処理が重く、業務のスタートが遅れるといった問題もあったそうです。これに対しCounterACTを導入いただくことで、端末が抱える問題の除去に関する作業を自動化。エージェントレスによる軽快な処理で端末のチェックが業務に支障を来すこともなくなったとのことです」と中山氏は紹介する。

 そのほか、グローバルにビジネスを展開するある製造業では、海外の拠点にもCounterACTを展開。全世界の拠点において共通のセキュリティポリシーに沿った端末の運用を実現。グローバル規模でのセキュリティ上の統制強化に役立てているという例もある。

 「CounterACTが提供する、こうした端末のポリシーチェックとコントロールは、サイバーセキュリティ対策のいわば“基本”です」と荒木氏は強調する。

 「サイバーセキュリティ経営ガイドライン」に準拠した対策の強化を目指すユーザー、特にこれまで運用負荷の問題や業務への影響などが課題となって、十分に端末のポリシーチェックの実践がかなわなかったユーザーには、CounterACTは検討する価値があるだろう。

お問い合わせ