【第4回】「自社管理の手間を削減するASP、SaaS活用術」（後編）

前回、日本版SOX法施行に向けて企業がすべき対策としてセキュリティ統制の重要性を解説した。セキュリティ統制は4つのステップにもとづいて実現していくことになるが、その中でもIT資産の把握が重要なポイントとなる。IT資産の把握にはツールを使うのがもっとも効率的だが、中小企業では初期導入コストや専任の管理者の不在などが高いハードルとなりやすく、管理ツールの導入が難しいのが実情だ。そんな中小企業に対してクオリティ株式会社（以下、クオリティ）が提供しているソリューションが「ISM（IT Security Manager）」である。今回はISMがどのようなサービスなのか、そしてこれによって何が実現できるのかを追ってみたい。

ISMとは何か

　前回説明したように、ISMはクオリティのASPサービスだ。管理者がサーバにツールをインストールして管理をするなどといった作業は不要で、手軽に導入できるのが最大の特長だ。

　ISMは大きく4つの機能を持つ。

• Windows Update　強制更新支援サービス
• セキュリティレベル診断サービス
• 各種レポート作成機能
• 不正ソフトウェア検出サービス

クオリティ株式会社
インターネットサービスグループ
ゼネラルマネージャー
坂田光太郎氏

　1つ目の主要機能は「Windows Updateの強制更新支援サービス」。一般的な企業であれば、Windows Updateの自動更新は必須というポリシーになっていることが多いはずだ。しかし、クオリティのインターネットサービスグループゼネラルマネージャーの坂田光太郎氏によれば、Windowsにせっかく用意されているWindows Updateの自動更新をオフにしているユーザーは比較的多いのだという。

　クオリティが調査したところ、企業ポリシーでWindows Updateの自動更新を義務づけていた企業はほぼ100％だったが、システムを利用して強制的に更新している企業は40数％しかなかった。つまり、半数以上の企業でWindows Updateによるパッチの適用ができていないのだ。坂田氏は、MSBlaster（※）など、セキュリティの脆弱性を悪用したネットワークワームの流行以来、セキュリティパッチの適用は一般的になっていると考えていたそうだが、想像以上にできていないことが分かったとのこと。セキュリティ対策の第1歩として、まずはセキュリティホールをふさがなくては話にならない。

　そこでISMでは、Windows Updateの自動更新機能の設定を確認し、オフの場合は設定をオンにするよう “促す” 仕組みを導入した。ISMの発表以降、企業からもっとも注目されたのがこの機能で、やはり経営者層にも強い問題意識があるようだ。ISMを使うことで各クライアントPCのWindows Updateを、より確実に実行、管理できるようになる。

ISMの機能１　Windows Updateの強制更新支援サービス

※クリックすると大きい画像を表示します。
クライアントPCのWindows Updateの自動更新設定を変更した場合、変更指示の確認を定期的に実施。セキュリティレベルの維持を実現する。画面はクライアントPCのセキュリティパッチ適応状態をチェックする画面

　次に、坂田氏が “4つの機能の中で一番お薦めしたい” という機能が「セキュリティレベル診断サービス」だ。これは、企業のクライアントPCのインベントリ情報を収集し、クオリティが提供するセキュリティ辞書から、その企業のセキュリティ状況を5段階で評価する、というものである。

ISMの機能2　セキュリティレベル診断サービス

※クリックすると大きい画像を表示します。
ユーザー企業の状況と、セキュリティ辞書を比較して5段階で診断。実装されているセキュリティ辞書は毎日更新されていく

　これまでの一般的な資産管理製品では、管理者がインベントリ情報を逐一チェックし、どのマシンがセキュリティパッチを適用していないか、許可されていないソフトウェア（以下、ソフト）をインストールしていないかなどを把握する必要があるものが多い。この点ISMのセキュリティレベル診断サービスならば、これらのセキュリティに関するさまざまな項目を確認する前に、「その企業内に脆弱性があるかどうか」が管理者は一目で分かるという利点がある。

　セキュリティレベルの根拠となるセキュリティ辞書は毎日更新され続けている。これはウイルス対策ソフトのパターンファイルのようなもの。この辞書と社内のPCから収集したインベントリ情報を比較し、その結果からセキュリティに問題があるかどうかが5段階のゲージで示される。管理者はそれを見ることで、レベル5であれば問題なしと判断できるし、レベルが下がっていれば各種脆弱性レポートを見て、問題点を探り当てる作業へ移ればよいのだ。あらゆる項目をチェックする必要がないため管理者の負担は少なくてすむ。これなら他の業務との兼任も不可能ではないだろう。