現代の多様化したエンドポイント環境では、IT部門の管理下にない「アンマネージドデバイス」がネットワークに紛れ込んでしまう可能性がある。なぜこれらのリスクは見過ごされてしまうのか。
IT部門が管理していないデバイス「アンマネージドデバイス」が、社内ネットワークに知らぬ間に接続されている可能性がある。これらのデバイスは、セキュリティリスクやコンプライアンス違反の温床となる。本来は許可されないそうしたデバイスが社内ネットワークに接続してしまうのはなぜなのか。デバイス管理の課題を解説する。
かつては、社内ネットワーク上の全てのデバイスが管理下に置かれていることが企業のIT部門にとっての基本だった。MicrosoftのOS「Windows」搭載PCはほぼ全てがドメイン(一括管理のためのグループ)に参加しており、ドメインコントローラーによってグループポリシーがPCに適用されていた。この仕組みにより、PCが企業のセキュリティ要件に従うよう保証されていたのだ。
しかし時がたつにつれて、企業のネットワークにはWindows以外のOSを搭載するデバイスが接続するようになった。これらのデバイスはドメインに参加できないため、企業では「モバイルデバイス管理」(MDM)システムや「統合エンドポイント管理」(UEM)システムが導入されるようになる。これらのシステムにデバイスを接続すると、登録(エンロール)プロセスを通じて、基本的な正常性チェックと各種セキュリティポリシー設定のチェックが実施される。
一方、アンマネージドデバイスとは、MDMやUEM、MicrosoftのID・アクセス管理システム「Active Directory」などに登録されていないデバイスのことを指す。これらのデバイスは、内部に備わっているセキュリティ設定のみに依存することになるため、それが十分であるとは限らない。
アンマネージドデバイスを企業のネットワークに接続する方法は幾つかあるが、最も簡単なのは、企業の無線LAN(Wi-Fi)経由で接続する方法だ。
2020年の新型コロナウイルス感染症(COVID-19)のパンデミック(世界的大流行)をきっかけにテレワークが普及した時期、多くの企業はVPN(仮想プライベートネットワーク)と連携したネットワークアクセス制御(NAC)ツールを導入した。NACツールはBYOD(私物端末の業務利用)環境でよく使われ、デバイスへの各種ポリシー適用や、正常性チェックを目的としたものだ。
例えば、Windows PCユーザーがVPNに接続した場合、NACはそのデバイスで「Windowsファイアウォール」が有効になっているか、Microsoftが提供する重要なセキュリティパッチ(修正プログラム)が適用されているかを確認する。
NACツールは非常に有益だが、全てのBYODデバイスをチェックできていなければ意味がない。一部の企業では、VPN経由で接続するデバイスに対しては積極的にNACツールでスキャンをする一方、社内の無線LAN経由で接続するデバイスについてはNACツールによるスキャンの対象外となっているケースもある。そのため、従業員が個人所有のデバイスを社内の無線LANに接続し、UEMに登録されないまま利用できてしまうことがある。
このように、NACにひも付けられていない無線LANが存在すると、アンマネージドデバイスが企業のネットワークに混入する可能性が高くなる。ただし、それ以外の経路でも同様のリスクは存在する。例えば、企業が取引先やパートナー企業などの外部関係者に対して、社内ネットワークとは別の「ゲスト用無線LAN」の使用を求めていたとする。しかし、ゲスト用無線LANが社内ネットワークから適切に隔離されていないと、本来分離されるべき管理されていないデバイスが、結果的に社内ネットワークのリソースにアクセスできてしまうこともある。
これまで紹介したようなケースのほとんどは従業員側の過失ではない。ネットワークインフラの設計や設定の不備によって、アンマネージドデバイスで意図せず企業のリソースにアクセスできてしまうからだ。とはいえ、その逆もあり得る。つまり、意図的にセキュリティを損なう行動を取った結果、アンマネージドデバイスがネットワークに接続されるケースもある。
例えば、従業員がアンマネージドデバイスを社内のLANケーブルに接続するとしよう。有線ネットワークに接続されるデバイスは、無線接続のデバイスほど厳しく監視されることはないのが実情だ。そのため、従業員が私物の無線LANルーターを勝手に接続したり、自分でVPNを構築したりして、本来のセキュリティ制御を回避しようとすることもあり得る。
通常の手順では管理システムに登録できないデバイスを利用する方法もある。例えば、従業員やIT部門がIoT(モノのインターネット)デバイスをネットワークに接続した場合、そのIoTデバイスは企業のUEMに登録されないまま動作する可能性がある。というのも、IoTデバイスはそもそもUEMへの登録機能を持たないことが多いからだ。このようなデバイスは、企業のセキュリティにとって重大なリスクとなり得る存在であり、攻撃者がネットワークに侵入する際の標的として狙われやすい。
次回は、アンマネージドデバイスを検出するための方法を解説する。
米国Informa TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
