専任のIT管理者が不足していると言われる中小企業。特に日本の中小企業では、社内に専任の管理者がいる割合が諸外国に比べ低いという。シマンテックが2009年に実施した中小企業を対象とした調査では、専任のIT管理者がいる中小企業は全世界で47%という割合であるのに対し、日本では34%となっている。こうした状況でIT環境のセキュリティを万全に保つためには、どのような対策を講じれば良いのだろうか。
シマンテックでは、IT管理者のいない中小企業でも容易に導入、運用ができるセキュリティ対策新製品「Symantec Protection Suite Small Business Edition」および「Symantec Endpoint Protection Small Business Edition」を8月4日に発表している。同社が見る中小企業の課題とその対策法を、シマンテック プロダクトマーケティング部 プロダクトマーケティングマネージャの広瀬努氏に聞いた。
従業員100人以下は専任不在がほとんど
シマンテック プロダクトマーケティング部 プロダクトマーケティングマネージャの広瀬努氏広瀬氏は、中小企業の特徴として「セキュリティに限らず個別にカスタマイズしたITシステムを導入するよりはパッケージ製品を導入するケースが多い」と見ている。シマンテックでは主に従業員が500人以下の企業を中小企業としているが、中でも特に従業員が100人以下の企業では専任のIT管理者が不在となっているケースがほとんどで、「本来であればセキュリティの定義ファイルを随時アップデートしたり、OSやブラウザなどのパッチも頻繁に適用する必要があるが、専任の管理者が社内に存在しない場合はそのような対処も難しい」と広瀬氏は指摘する。
シマンテックが「Small Business Edition」として中小企業向けに製品を出すのは今回が初めてだ。これまでは企業規模に関係なく同じパッケージ製品を用意していたが、「専任の管理者がいない企業では必要のない機能もついていたため、導入の際に設定を間違える可能性がある。また、利便性が損なわれてセキュリティが低下することにもつながりかねない」と、広瀬氏は中小企業をターゲットとした製品を用意した背景について説明する。
Small Business Editionでは、管理項目や設定項目、制御の項目などが通常版より少なくなっている。例えば、USBなど外部デバイスの接続制御や、業務と関係のないソフトウェアのインストール制御といった機能は備わっていない。こうした個々のユーザーの行動を規定し、監視するには、専任のIT管理者がサーバ上で管理する必要があるためだ。
専任の管理者がいなくても、定義ファイルやセキュリティパッチの更新は必要だ。しかし、「個人ユーザーの場合はWindows Updateがデフォルトでオンになっていることがほとんどだが、企業ユーザーは納入する業者によってこうした自動更新機能がオンになっていないケースもあり、脆弱なマシンを利用しているユーザーもいる」と広瀬氏は警告する。そこでSmall Business Editionでは、管理者やエンドユーザーが意識しなくても、ネットワークの侵入防止機能でクライアントへの攻撃が防げるようになっている。この機能は、外部から脆弱性を狙って攻撃するパターンを見つけた場合、通信そのものをブロックするようになっており、万が一脆弱なマシンを利用していても攻撃の影響が最小限にとどめられる。
「中小企業でほかの業務と兼任しながらITを管理している人たちは、管理のための勉強の時間もあまりない。そのため、あまり知識がなくても防御できる製品をベンダー側が提供する必要がある」(広瀬氏)
