野良アプリ、何本放置していますか――デスクトップ「棚卸し」4ステップ:恐怖のアプリスプロール
「このアプリ、誰が入れたのか」――情シスが把握しきれない野良アプリがエンドポイントに増殖し、セキュリティリスクと運用負荷を押し上げている。SaaSの棚卸しとは異なるデスクトップ固有の落とし穴と、インベントリから監視まで4ステップで散乱を断つ手順を解説する。
デスクトップ環境では、管理されていないアプリケーションが蓄積し、環境が乱雑になりやすい。これらはユーザーによるダウンロードや、ベンダー提供のプログラム、OSのアドオンに起因する。IT部門が特殊な要件を満たすために導入したツールが原因になることもある。こうした「アプリスプロール(増殖・散乱)」は、セキュリティや性能、ITの運用効率に悪影響を及ぼす。
デスクトップアプリのスプロールは、SaaSのスプロールとは異なるセキュリティリスクや管理上の課題をもたらす。本稿では、エンドポイントでスプロールが発生する仕組みと、それを制御するための具体的な手順を解説する。
ポイントは「ガバナンスループ」の確立
併せて読みたいお薦め記事
AI運用で事故を起こさない
アプリスプロールとは、ガバナンスや修正パッチの適用ルールがないまま、アプリが無秩序に増殖する状態を指す。対象はローカルにインストールされたプログラムや実行ファイル、冗長なユーティリティー、スクリプト、ブラウザ拡張機能など多岐にわたる。これはインストール権限の分散や、ローカル管理者アカウントの付与が主な原因だ。
スプロールが業務に与える影響は、ITリーダーが無視できないほど大きい。昨今のリーダーはセキュリティやコンプライアンス、投資対効果(ROI)、パフォーマンスを重視している。スプロールは単なる不便さにとどまらず、組織に甚大な被害を及ぼす可能性があるからだ。
最大の懸念は、未管理のアプリにパッチが適用されず、脆弱(ぜいじゃく)性が放置されることだ。また、スプロールは標準化や近代化、自動化を阻む障壁にもなる。
この問題への対処は比較的シンプルだ。アプリを標準仕様やセキュリティ要件に適合させる「ガバナンスループ」を確立すればよい。このループは「インベントリ」「合理化」「適用」「監視」の4つのステップで構成される。
ステップ1.インベントリ(棚卸し)
最初の目標は、エンドポイントにあるアプリを完全に可視化することだ。効率を高めるために自動検出ツールを活用しよう。この際、スクリプトやブラウザ拡張機能も含める必要がある。タグ付けシステムを使用し、業務上重要なアプリ、許可されたアプリ、禁止されたアプリを識別する。
ステップ2.合理化
インベントリで判明したアプリがなぜ存在するのかを把握する。従業員にヒアリングを行い、実際にどのアプリをどのように使用しているかを確認する。機能が重複しているものや、不要になったアプリを特定し、カタログを標準化して冗長性を排除する。各アプリのリスクを評価し、更新要件を定め、ビジネスニーズやライセンスの選択肢と照らし合わせる。
ステップ3.ポリシーの作成と適用
デスクトップの制御ポリシーと適用メカニズムを確立する。これには以下のツールや管理アクションが有効だ。
- Active Directory
- Microsoft Intuneのアプリ保護ポリシーによる制御
- 承認済みソフトウェアをインストールするための配布ポータル
- 一般ユーザーからのローカル管理者権限の削除
ステップ4.継続的な監視
監視を怠れば、組織は徐々に元の状態に戻ってしまう。以下の活動に注意を払う必要がある。
- 構成の乖離(かいり)
- 未承認のインストール試行
- ブラウザ拡張機能の追加
- アプリ更新の漏れ
インシデントを評価し、合理化や適用ポリシーを修正することで、継続的な改善を図る。
成功のためのベストプラクティス
アプリスプロールを解消するには、経営陣のリーダーシップと明確なビジョンが必要だ。また、組織的な規律も求められる。以下のベストプラクティスを推奨する。
- デスクトップアプリのガバナンスを、セキュリティと運用の核心と位置付ける
- ゼロトラストや最小権限の原則(POLP)といったセキュリティワークフローと管理を連携させる
- IT部門に、環境を制御するための必要な権限、ツール、部門横断的な支持を与える
- 従業員教育を実施し、アプリガバナンスへの理解を深める
よくある反発の1つに、ノートPCユーザーへのローカル管理者権限の付与がある。しかし現代のOSは通常、外出先で業務を行うユーザーであっても、管理者権限を必要としない。POLPを厳守し、真に必要な場合のみ権限を許可すべきだ。
デスクトップのスプロール対策は、セキュリティと効率性の維持に直結する。まずは既存アプリのインベントリから始めることを勧める。ほとんどの組織が、未管理アプリの多さに驚くはずだ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「Windows」から「Linux」への移行は危険? 襲い掛かる“代償”と解決策
「Windows 10」搭載PCの延命策として「Linux」への切り替えは有効だが、使い慣れたアプリケーションが動かなくなるリスクは致命的だ。互換性などのさまざまな問題に対処し、安全に移行する方法を紹介する。
セキュリティコンサルはオワコン? AI自己修復ネットワークが変える人の役割
ネットワーク構成が複雑化する中、AIが異常検知から修復までを自動化する「自己修復ネットワーク」が注目されている。運用負荷の軽減が期待される一方で、情シスの役割はどのように変化するのか。
「サブスク乱立」の悪夢をどう終わらせる? CIOが今すぐ取るべき行動
SaaSなどのサブスクリプション契約が無秩序に増殖する乱立状態は、企業の適応力を奪い、システム刷新の足かせとなる。この悪影響を最小限に抑え、IT費用を適正化するために、CIOは何をすべきか。
便利だったはずが“浪費の温床”に? 「サブスク乱立」が招くIT予算崩壊の危機
インターネット経由でソフトウェアを利用できるSaaSは便利な一方、社内での無秩序な契約が増える「サブスクリプションの乱立」が深刻な問題となっている。放置すれば企業を制御不能に陥れる脅威の実態とは。
テレワークの“サボり”を放置してはいけない本当の理由と監視以外の管理術は
テレワーク下で浮上する“サボり”を疑う気持ちは、個人の問題ではなくITガバナンスの不在に起因する場合がある。組織の安全性と公平性を担保した施策にはどのようなものがあるのか。