デバイス管理におけるセキュリティポリシー|テレワークに最適な対策は?
前回の記事では、現代的なデバイス管理「モダンマネジメント」の基本的なセキュリティ機能の概要について解説いたしました。
(テレワークのセキュリティ問題を解決する!第1回 -モダンマネジメントのセキュリティ機能- リンク)
今回はモダンマネジメントにおけるセキュリティ機能の1つである、定めたセキュリティ条件(ポリシー)に準拠するようにデバイスを管理する「ポリシー管理」について具体的に解説していきます。
目次[非表示]
デバイス管理しないことでのリスク
まず、会社のシステムを安全に運用していく上で、PCなどのデバイスを管理することはセキュリティ対策の上で欠かせません。新しいPCに業務で必要なソフトウェアのインストールや設定を行い、ユーザーに配布しただけで、その後のPC管理をすべて個々のユーザー任せにした場合、あらゆるセキュリティリスクが発生してしまうからです。
たとえば、ユーザーが業務とは関係ないソフトウェアを勝手にインストールしたことで、PCにウィルス感染してしまう恐れがあります。
また、ユーザーがもしファイアウォールの設定をすべて無効にしてしまった場合、ネットワークからの脅威にさらされる可能性も。さらには、ユーザーが古いOSバージョンを使い続けていることで最新の脅威に対応できない可能性もあります。
これらの対策のため、ユーザーのデバイスを監視して会社が指定したセキュリティポリシーに準拠するよう管理する必要があり、従来は資産管理のシステムが使われてきました。しかし、従来のシステムでは管理対象が社内のネットワークに接続されているデバイスのみであり、テレワークなど社外で利用されているデバイスは対象ではありませんでした。
Microsoft IntuneなどのSaaS型デバイス管理ツールを利用して行うモダンマネジメントでは、対象PCの所在が社内、社外に関係なくデバイスの管理ができます。
(情報システム担当者必見!デバイス管理の新手法「モダンマネジメント」について(前編))
デバイス管理におけるポリシー管理とは
モダンマネジメントにおけるポリシー管理の機能では、会社が定めた条件にデバイスが準拠するように管理ができます。
条件の例をあげると、
「OSバージョンがある一定のバージョン以上である」
「ファイアウォールの機能が有効である」
「特定のセキュリティソフトがインストールされている」
など、デバイスの条件を定めることができます。
上記の条件にデバイスが準拠しているかを常に監視し、準拠していないデバイスを把握することで、そのデバイスに対して通知、アクセス制御、ワイプ(初期化)などのアクションを行えます。
このように、モダンマネジメントでは社内外で利用されているデバイスを管理して、常に会社のポリシーに沿った、最適で安全なデバイス状態を保つことが可能です。
ポリシー管理を利用して行うアクション
ポリシー管理を利用し、デバイスに対して行うアクションとしては、利用しているデバイス管理ツールのサービスによって細かい機能は異なります。
機能は多様であるものの、利用者への通知、リモートでのデバイスのワイプ、クラウドサービスなどの社内リソースへのアクセス制御などは、基本的にどのツールであっても行えます。
まず、利用者への通知については、あるユーザーがWindows10の定期的なOSアップデートを行っておらず、会社指定ではない旧バージョンのまま使い続けていた場合、その旨をユーザーにメールなどで通知を行い、バージョンの更新を促すことができます。
次に、ユーザーが通知を受けたにもかかわらずアップデートを行わない場合は、そのPCが危険な状態であると判断して、業務で利用しているクラウドサービスへのアクセスや、社内ネットワーク接続のためのVPNへのアクセスを拒否することが可能です。
それにより、社内の環境への危険なデバイスからの接続を防げます。
また、あまりないケースですが、通知の通りにユーザーがOSアップデートを行わない場合は、手動または自動で対象のPCを初期化もできます。
バージョン更新などのアクション自体は自動で行われるものや、アラートを検知してから管理者がリモートで行うもの、通知を受け取ったユーザーが手動で行う必要のあるものなどがあります。
これも利用しているデバイス管理ツールのサービスによって異なりますが、自動、手動に関わらずアクションを行うことで、PCを常に最適な状態に保つことが可能です。
BYOD対策
また、リモートワークによってユーザー個人が所有しているPCやモバイルデバイスを利用し、社内システムに接続して業務を行うようなケース(BYOD:Bring Your Own Device)が増えました。このようなBYODの場合でもポリシー管理の機能がセキュリティ対策として有効です。
ユーザー個人所有のPCだと、ユーザー自身で設定やセキュリティ対策が行なわれているため、セキュリティ水準が低い場合や、会社が必要としている設定をきちんと行えていない場合があります。
このようなセキュリティ対策のされていないデバイスはウィルスに感染するリスクがあり、感染したまま会社のシステムにアクセスすることでリソースや情報を漏洩させてしまう恐れがあります。
また、これらの設定や利用状況は従業員によってバラバラであるため、社内のセキュリティを一定以上の水準を保つためには、SaaS型のMDMやMAMなどのデバイス管理ツールが必須と言えるでしょう。
(デバイス管理どうしてる?MDMとMAMを用いた適切な管理を!)
Intuneなど活用したモダンマネジメントを行うことでBYODの端末もポリシー管理を行い、デバイスの状態が会社のポリシーに準拠しているかの確認や、準拠していない場合は、会社のクラウドサービスなどへのアクセスを拒否できます。
まとめ
モダンマネジメントのポリシー管理の機能では、社内外問わずにデバイスをリモートで管理して会社のセキュリティポリシーに常に準拠させることで、最適なセキュリティ状態を保てます。また、BYODで利用されているユーザー個人所有のデバイスのセキュリティ対策にも有効です。
その他のセキュリティ機能であるアクセス制御や、アップデート管理の機能とも連携してセキュリティ効果を発揮するため、次回はその他の機能についてご紹介します。
■関連記事
・テレワークのセキュリティ問題を解決する!第1回 -モダンマネジメントのセキュリティ機能-
・クラウド初心者でもわかる!Intuneがテレワークにおすすめな理由を徹底解説
・2021年度の情シス部員は知っておきたい新時代のデバイス管理 “EMM”とは?
※この記事は、公開時点の情報をもとに作成しています。