あるはずのない「野良PC」を社内ネットワークからあぶり出す“これだけの方法”：社内ネットワークに潜むリスク【後編】

IT部門の管理下にない「アンマネージドデバイス」は、企業のセキュリティとコンプライアンスの大きなリスク要因となっている。社内ネットワークに紛れ込んだこれらのデバイスを見逃さないための方法とは。

≫ 2025年05月07日 08時00分公開

[Brien Posey，TechTarget]

社内ネットワークに潜む「野良PC」、どう検出する？

併せて読みたいお薦め記事

連載：社内ネットワークに潜むリスク

前編：あってはならない「未承認のPC」が社内ネットワークに紛れ込む“恐ろしい理由”

ネットワークセキュリティの最新動向をおさらい

　アンマネージドデバイスの存在は、セキュリティ面でもコンプライアンス面でも非常に大きな問題を引き起こしかねない。そのデバイスが企業のセキュリティ要件に沿って正しく設定されているかどうかを確認する手段がないからだ。

　アンマネージドデバイスはマネージドデバイス（IT部門の管理下にあるデバイス）と同様の正常性チェックが実施されないため、マルウェアに感染していたり、脆弱（ぜいじゃく）性を抱えていたりする可能性が高くなる。その結果、社内ネットワーク全体を危険にさらすことになる。加えてこれらのデバイスは、モバイルデバイス管理（MDM）システムや統合エンドポイント管理（UEM）システム、MicrosoftのID・アクセス管理システム「Active Directory」などに登録されていないため、企業がコンプライアンスの一環として実施する管理レポートの対象にもならない。

　社内ネットワーク上のアンマネージドデバイスを検出および対処する方法は幾つかある。

　その一つが、MAC（メディアアクセス制御）アドレスフィルタリングの活用だ。ネットワークに接続する全てのデバイスには、固有のMACアドレスが割り当てられている。管理されたネットワークでは、既知のMACアドレスのデータベースを保持しており、ネットワーク上の各デバイスを管理している。このデータベースに存在しないMACアドレスを持つデバイスは、「未知の管理されていないデバイス」と見なされる。

　MACアドレスフィルタリングを実施するためのツールは幾つかあるが、Microsoftのコマンド実行ツール「Windows PowerShell」を使ってネットワーク上のデバイスを追跡することも可能だ。

　ネットワーク上のデバイスを特定する手段としては、「ネットワークインベントリツール」（資産管理ツール）も有効だ。これらのツールも一般的にはMACアドレスを使ってデバイスを識別するが、ネットワーク監視ツールよりも操作がシンプルで扱いやすいことが多い。

　一部の企業では、AI（人工知能）技術を用いたユーザーおよびデバイスの挙動分析ツールを導入し、アンマネージドデバイスを検出する。このアプローチの根底には、「管理されているデバイスはネットワーク上である程度一貫した挙動を示す」という考え方がある。AI技術を使った分析ツールは、こうした異常な振る舞いを検出し、アンマネージドデバイスを検出することができる。

　ネットワーク上のアンマネージドデバイス問題への最善の対処法は、ゲストネットワーク上のデバイスを除くいかなるデバイスも、許可されたデバイスだけがネットワークに接続できるようにする仕組みである「ネットワークアクセス制御」（NAC）ツールを経由しない限り、社内ネットワークに接続できないようにすることだ。ただし、これを実現するためには、ネットワークアーキテクチャ全体に大幅な変更を加える必要があるだけでなく、NACツールのライセンスコスト増加を負担しなければならない可能性もある。IT部門は、UEMやActive Directoryといった既存の管理ツールとNACツールを連携させる必要もある。

　理想的には、無線LAN（Wi-Fi）、有線、VPN（仮想プライベートネットワーク）といった全ての接続がNACを経由するように設計されるべきだ。こうすることで、全てのデバイスがその種類に関係なく、ネットワークに接続される前にNACツールによる登録とチェックを受けるため、管理されていないデバイスの侵入リスクを大幅に減らすことができる。

TechTarget発世界のインサイト＆ベストプラクティス

米国Informa TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。

TechTargetジャパントップシステム運用管理