2015年02月16日 10時00分 UPDATE
カスタムナーチャリング

端末の保護&復旧&資産管理に、1製品で臨むクライアント端末の保護に潜む落とし穴

クライアントPCのセキュリティ対策は、どの企業にとっても喫緊の課題だ。だが、従来のセキュリティ製品だけでは、“ある深刻なインシデント”に対処できない。そこには重大な落とし穴があるのだ。

[提供:デル株式会社]

 クライアントPCのセキュリティ管理、いわゆる「エンドポイントセキュリティ」は、セキュリティ対策の基本中の基本ともいえる取り組みだ。これを支援するためのさまざまな製品/サービスが存在し、多くの企業が積極的に導入して対策の強化に努めている。

 しかし多くの場合、その対策には重大な抜けや漏れが残っている。例えば、アプリケーションに対するパッチ適用もその1つだ。近年、Adobe製アプリケーションのアップデートを怠ったが故に、深刻なセキュリティインシデントを引き起こす事例が増えている。Adobeアプリケーションのアップデートを日々厳密に管理している企業が、果たしてどれだけあるだろうか?

 クライアントPCにまつわる課題は、何もセキュリティだけに限った話ではない。東日本大震災以降、多くの企業が自社システムの災害対策に乗り出したが、そのほとんどはサーバやデータベースを保護するためのもので、クライアントPC環境の保護については手付かずのケースが多い。万が一の事態で、データセンター上のサーバやストレージがいくら迅速に復旧しても、クライアントPCの環境が失われたままでは、業務継続はままならないはずだ。

 ただ、たとえIT部門がこうした課題を十分自覚していたとしても、これまでは決め手となるようなソリューションが存在しなかったことも事実だ。そんな中、こうした課題を一気に解決し、クライアントPCの運用管理に変革をもたらすソリューションがあるという。


 「Dell KACE」は、デルが提供するアプライアンス型のシステム運用管理ツールだ。アプライアンスならではの導入のしやすさ、使い勝手の良さ、そして価格の安さなどが話題を呼び、海外はもとより日本国内でも急速にユーザー数を増やしている。

 Dell KACEは、統合クライアント管理ツールとしての機能を備える「KACE K1000」(以下、K1000)と、クライアント環境イメージの作成、管理、配布などの機能を備える「KACE K2000」(以下、K2000)の2つの製品ラインを持つ。両製品ともに極めて広範囲の機能をカバーする製品であると同時に、旧来のクライアント管理ツールにはないユニークな機能を数多く備え、これまで解決が困難だと思われてきたクライアント管理にまつわるさまざまな課題に対して、新たな解決策を提供している。

aa_kace01.gif 図1 Dell KACE Kシリーズアプライアンス

 本稿では、そんなDell KACEならではの特徴的なソリューションを、システム運用管理の現場が抱える課題別に幾つか紹介してみたいと思う。

もう見て見ぬふりは許されない「アプリケーションの脆弱性」

 冒頭でも述べたように、クライアントPCのセキュリティ対策は、どの企業にとっても喫緊の課題だ。特にソフトウェアのパッチ適用は、マルウェアの攻撃に対する最も基本的な防御策であり、これを確実に実行するためのツールも数多く提供されている。読者の中にもこうしたツールを使い、あるいはマイクロソフトが提供するWindows UpdateやWSUS(Windows Server Update Services)を介して、日々Windowsのパッチ適用に気を配っている方は多いだろう。

 実は、ここに落とし穴が潜んでいる。そもそも、Windowsのアップデートだけで、クライアント環境のセキュリティ強度を十分なレベルまで引き上げることができるのか? 先述したように、今日ではWindowsの脆弱性だけでなく、Adobeアプリケーションをはじめとする各種PCアプリケーションの脆弱性を突いた攻撃が増加の一途をたどっているのだ。

 しかしこうした実態に反して、Adobeアプリケーションのアップデートを効率的に一元管理できるツールは、これまでほとんど存在しなかった。同じことは、これまで本格的な管理ツール製品がほとんど存在しなかったMacについてもいえる。

 かといって、社内に存在する全てのAdobeアプリケーションやMacのパッチ適用を手動で管理するとなると、膨大な手間が掛かるのは目に見えている。結果として、セキュリティ上のリスクにはうすうす気付いてはいるものの、やむなく「見て見ぬふり」をしている企業も決して少なくないはずだ。

 こうした課題の解決にまさにうってつけなのが、K1000だ。K1000は一般的なクライアント管理ツールと同様、WSUSによるWindowsのパッチ適用を自動化する機能を備えるが、同時にAdobeアプリケーションをはじめとする各種PCアプリケーションや、Mac OSのアップデートをも自動管理できる機能を備えている。具体的には、アプリケーションベンダーから新たなパッチが公開されると、自動的にK1000が管理するパッチリストにその情報が反映される。管理者はこのリストの中から、クライアントに適用すべきパッチを選択するだけで、後はしかるべきクライアントに対してパッチが自動的に適用されるのだ。

aa_kace03.jpg WindowsやAdobeなどのアプリケーションのパッチリスト《クリックで拡大》
aa_kace04.jpg スマートラベルを使ってパッチ適用対象のPCを動的グルーピング《クリックで拡大》

 では、適用すべきパッチはどのように選べばいいのか? ここで威力を発揮するのが、K1000が備える脆弱性診断の機能だ。K1000は、セキュリティ検査言語OVAL(Open Vulnerability and Assessment Language)で記述された4000弱の脆弱性診断テストを自動実行する機能を持つ。これらのテストを実行すると、各クライアントPCが抱える脆弱性が数値化され、その一覧がリポートとして出力される。どのクライアントにどのような脆弱性が存在するかが、曖昧さを排した数値の形で可視化されるため、より適切な対策がとれるというわけだ。

aa_kace05.jpg OVALのテスト結果。脆弱性を重み付けし、数値で可視化《クリックで拡大》

見落とされがちな「クライアント環境の災害対策」

 今度は、近年セキュリティとともに最もIT部門の頭を悩ましている「災害対策」と「BCP(事業継続計画)」の観点から、システム管理の課題を考えてみよう。災害対策と聞いて多くの方が真っ先に思い浮かべるのは、災害対策サイトにサーバ環境やストレージ環境のバックアップを用意しておき、災害で本番サイトがダウンした際にフェイルオーバーさせてシステムの稼働を継続させるような仕組みのことだろう。確かに、こうした仕組みは企業システムの災害対策を考える上では決して欠かせない。

 しかし一方で、災害時にクライアントPC環境が失われる事態を想定して備えを行っている企業が、果たしてどれだけあるだろうか? 一度失われてしまったクライアント環境を一から復旧するには、OSとアプリケーションのインストールとセットアップを全てやり直さなくてはならず、膨大な手間が掛かる。たとえデータセンター上の業務システムが迅速に復旧したとしても、エンドユーザーが直接利用するクライアントPC環境の復旧に手間取ってしまっては、せっかくの高価な災害対策システムも宝の持ち腐れだ。

 こうした事態に対する備えに適しているのが、K2000だ。K2000の機能を一言で表すと、「クライアント環境のイメージ管理」。つまり、クライアントPCの環境を丸ごとイメージファイルとしてK2000上にバックアップしておき、いざというときにはそのイメージファイルをそのままPC上に展開することで、極めて迅速にクライアント環境を復旧できるのだ。OSやアプリケーションのインストール作業は一切要らない上、バックアップイメージの管理や展開はK2000上で一括して実行するため、運用の手間も最小限で済む。

 確かにクライアント環境を丸ごとイメージファイルとして保管できるソリューションは、K2000以外にもわずかながら存在する。しかしK2000は、こうした製品よりはるかに豊富な機能と柔軟な運用性を備えているのが特徴だ。例えば、K2000は既存のPC環境をそのままイメージ化するだけでなく、OSやアプリケーションをインストール媒体から読み込み、それらをイメージファイルとして内部で管理した上で、クライアントに対して自由に展開できる。その際には、K2000上でイメージファイルの内容を編集したり、あるいはイメージを展開する際に各クライアントに固有の設定を自動的に付与することもできる。

aa_kace02.gif 図2 K2000による2通りの展開手順

 こうした機能は、クライアントPCのOSを一斉にアップグレードしたり、あるいは新規にPCを大量導入した際にそのセットアップを自動実行するような際に大いに役立つ。災害対策やBCP以外のさまざまなニーズに対しても、イメージング技術を使った幅広いソリューションを提供できるのがK2000の強みだ。

いつまでたっても減らないエンドユーザーからの問い合わせ

 クライアントPC管理に付き物の業務の1つに、エンドユーザーからの問い合わせ対応がある。これも往々にしてIT部門にとっては頭の痛い問題であり、中には日々エンドユーザーからの電話やメールの対応に追われるあまり、他の業務に全く手が回らないケースも少なくないようだ。こうした課題の解決を支援するために、多くのクライアント管理ツールにはリモートヘルプ機能が備わっている。これはエンドユーザーのクライアントPC環境に管理者がリモートアクセスし、トラブル対応を支援するための機能だ。K1000にも同様の機能が備わっているが、同製品にはもう1つ、システム管理ツールとしては大変ユニークな機能が備わっている。それが「サービスデスク」の機能だ。

 簡単に言えば、クライアントPCに関する問い合わせやトラブル対応に当たるサービスデスクの業務を自動化するものだ。エンドユーザーがトラブル対応を管理者に依頼する際には、K1000上でユーザーごとに設けられたポータル画面を通じて、インシデントのチケットを発行する。このチケットを受け取った管理者は、その内容の重要度に応じて対応の優先順位を整理し、効率的に作業を進めることができる。

aa_kace06.jpg サービスデスク(管理者画面)《クリックで拡大》

 K1000ではさらに、このユーザーポータルを通じてナレッジベースやFAQなどの機能もユーザーに提供する。これらの仕組みを通して、エンドユーザーがトラブルを自己解決できるよう促すことで、IT部門に掛かる負担はさらに減ることになるわけだ。

 現状、こうした機能を個別に提供するソフトウェアツールは数多く存在するものの、上記の全てをシステム管理製品に内包している例は、K1000以外にはほとんどないといっていいだろう。

無駄なライセンスコストをどこまで炙り出せるか

 もう1つ、近年多くの企業のIT部門で深刻な問題として持ち上がっているのが、ソフトウェアライセンスの管理だ。最近ではソフトウェアベンダーによるライセンス監査が厳しく行われるようになり、ライセンス違反の発覚によって数千万円の違約金が請求される例も珍しくない。一方で、こうしたライセンス違反が意図せず発生することを恐れるあまり、必要以上の数のライセンスを購入し、結果として無駄なライセンス費用が発生しているケースも多いようだ。

 こうした事態を防ぐために、多くのシステム管理製品では資産管理機能の一部として、ライセンス管理機能を備えている。どのクライアントPCでどのソフトウェアのライセンスが利用されているかを可視化し、きちんと管理することでライセンス違反と無駄なライセンスコストの発生を防ぐのがその狙いだ。だが、K1000が備えるライセンス管理機能はさらにその先を行っている。K1000には、ある特定のソフトウェアが特定のクライアントPC上で「何回起動されたか」「何分間利用されたか」「前回起動されたのはいつか」といったことまで可視化できるのである。

aa_kace07.jpg メータリングでアプリの使用状況を一元化《クリックで拡大》

 いわゆる「メータリング」と呼ばれる機能だ。これにより「インストールはされているものの、実際にはほとんど使われていないライセンス」を炙り出し、ライセンスコストを極限まで最適化できるようになる。極めて効果的なコスト削減ソリューションだが、これもシステム管理ツールの一機能として実装されている例は、K1000以外には現状ではほとんどない。


 以上で見てきたように、Dell KACEは一般的なクライアント管理ツールとしての機能を幅広く網羅するだけでなく、旧来の製品にはない斬新な機能を数多く備えることで、これまでのソリューションでは解決できなかったさまざまな問題に対して最適解を提供する。もはや解決を諦めていた、あるいは長く見て見ぬふりをしてきた課題であっても、Dell KACEなら何らかの解決策が見つかるかもしれない。クライアントPC管理に課題を抱えるあらゆる企業にとって、ぜひ注目すべきソリューションだといえよう。

提供:デル株式会社

提供:デル株式会社
アイティメディア営業企画/制作:TechTargetジャパン編集部

際限なく生まれてくるサイバー脅威を、包括的な対策で、より強固なセキュリティを実現
セキュリティ「7つの課題」と解決策標的型攻撃の実害を防ぎたいゼロデイ攻撃など未知の攻撃にも対処したい不正ログイン/なりすましを根絶したい社内スマホやPCを安全かつ効率的に管理したいセキュリティ対策を進めたいが、社内に人材もノウハウもない最新のセキュリティ動向を把握したい「Windows Server 2003」サポート終了で生じる危険に対処したい