手作業のエンドポイント管理が生む脆弱性を防ぐには?
続いて堀内氏は、「エンドポイント管理」と「ID管理」の2つの観点からManageEngineの機能を紹介した。脆弱性を狙った攻撃は、VPNやネットワーク機器だけでなく、PCやスマートフォンなどのエンドポイントも対象となる。こうしたエンドポイントは社外との通信が多い上、社内の重要なリソースにもアクセスできる。そこに対する攻撃として、「マルウェアを通常のファイルのように見せかけたり、セキュリティホールを利用したりすることでエンドポイントに侵入する」ものなどが考えられるとした。セキュリティホールを塞ぐためにはエンドポイントのOSをアップデートしたり、ソフトウェアにセキュリティパッチをあてたりすることが有効であり、これらを一元的に管理・可視化できるツールが求められるのだ。
こうしたニーズにもManageEngineは対応しているという。一例として、堀内氏は国内エンターテインメント業界の企業事例を紹介した。同企業では、パッチ適用はユーザー任せで、資産管理についてもMicrosoft Excel(以下、Excel)を台帳とした手作業で運用していたところに、脆弱性対策としてManageEngineの「Endpoint Central」を導入。これにより、端末の実態をリアルタイムに把握できるようになった。それだけでなく、キッティング時のプロファイルの設定、必要なソフトウェアの配布、その後のアップデートやセキュリティパッチの適用までを自動化することで、管理者の負担軽減も図ることができたという。
Endpoint Centralは、オンプレミス版・クラウド版のいずれかを選んで利用するエンドポイント管理ツール。パッチ管理、インベントリ管理、リモートコントロールなどの機能を備えている。さらに、パッチ管理機能だけを切り出した「Patch Manager Plus」も用意しているとした。
特権ID管理は“証跡取得”でJ-SOXなどに対応
次に堀内氏は「ID管理」に話を移し、特権ID管理を例にとって内部不正と情報漏洩への対策について説明した。特権IDとは、各システムに対する操作や情報の参照などに対して強い権限を持つ管理者アカウントを指す。組織によっては複数人で特権IDを使い回し、それをExcelの台帳で管理するといった運用を行う場合も多い。この運用では個人名でマシンにログが残らないため、誰が何をしたのかが把握できないこと、特権返却などの対応漏れ、さらには退職者などによる特権IDパスワード漏れなどのリスクが考えられる。
そこに対応するのがManageEngineの「Password Manager Pro」だ。Microsoft Windows、Linux、各種データベース、Amazon Web Services、Salesforceなどに対応し、ワークフローを使って特権IDを管理できる。利用者に特権IDのパスワードを共有することなくRDP(Remote Desktop Protocol)やSSH(Secure Shell)でリソースにアクセスでき、その履歴や操作の録画を残す機能も備わっているとした。
この事例として堀内氏は、購買支援サイトを運営する大手企業の例を紹介。この企業では、本番環境にアクセスする際は特定の踏み台サーバーを解するという対策を講じていたが、サーバーへのアクセスを開始すると誰がどのような作業を行ったか証跡の取得が難しいという課題があった。証跡取得はJ-SOXなどの各種コンプライアンス基準への対応として求められているため、対応が必須である。
そこで踏み台サーバー専用の特権ID管理ツールとしてPassword Manager Proを導入。いつ・誰がアクセスを行ったのかの証跡取得、サーバー上での操作をセッション動画として録画することで内部統制の強化を実現したという。堀内氏は「Password Manager Proは、特権IDの利用を承認する管理者数をベースとした課金体系を取るため、特権IDを利用する申請者やアクセス先のサーバー数をベースとした場合と比べるとコストを下げることができる」と紹介した。
