情報漏洩リスクをモダンマネジメントするには

2023年6月27日 2023年6月30日

◆目次

デバイス管理ソリューション「Microsoft Intune」
デバイス管理をしないことで発生するリスク
デバイス構成管理の不備による不正侵入や内部からの脅威
不適切なアップデート管理による脅威
シャドーITによる社内リソースへの脅威
Intuneによるリスク軽減効果
「Azure AD」や「Microsoft 365」と連携可能なユーザー管理
ポリシーに沿ったプロファイルの準備・適用が可能に
アプリケーションの利用状況を把握
Windowsアップデートの個別設定が可能
ポリシーと異なる構成のデバイスを検知
社内リソースへのアクセスを柔軟に設定
ネットワーク経由のキッティングで負荷軽減

オフィスに縛られないハイブリッドワークは組織と従業員の双方にさまざまなメリットをもたらしましたが、社外に分散したPCやスマートフォンの利用による『情報漏えい』リスクは逆に高まりました。

第三者による「なりすまし」、不適切なユーザーやデバイスからの「不正アクセス」、内部不正による「機密情報の持ち出し」。こうしたリスクを回避するには高性能なソリューションの導入が必要不可欠です。

今回はハイブリッドワークで顕在化した情報漏えいリスクの解決を図るうえで社内外のデバイス・アプリを適正管理する方法を解説します。

デバイス管理ソリューション「Microsoft Intune」

従業員1人で複数の業務用デバイスを利用する昨今、運用管理の主な課題は社内リソースにアクセスする多様なデバイスをどう管理するか。テレワークシフトに伴いPC管理が複雑化したことでサイバー攻撃のポイントが増え、デバイス単位のセキュリティ強化は大きな課題になりました。

そうした課題を解決するソリューションの選択肢の筆頭に挙げられたのがMicrosoft「Intune（インチューン）」。

デバイス管理をしないことで発生するリスク

業務利用する情報デバイスは主にPC、タブレット、スマートフォンの3種の神器。デバイスごとにさまざまなOSが使用され、ハードウェアも異なれば、導入するアプリも異なります。

従来は「WSUS」（Windows Server Update Service）や「AD」（Active Directory）といったオンプレミスのIT資産管理ツールなどでデバイスを管理していました。テレワークシフトに伴い利用場所を問わずに多様なデバイスが社内リソースにアクセスするケースが増え、社内ネットワーク内のPCだけを管理していればよい状況ではなくなりました。そこで注目されるのがクラウド型のデバイス管理。

Microsoft「Intune」はクライアントPCなど端末を利用している企業にとって外せない選択肢ですが、ハイブリッドワークにおけるデバイス管理の『脅威』を下記に整理します。

デバイス構成管理の不備による不正侵入や内部からの脅威

ファイアウォールの有効化やHDDの暗号化、アンチウイルスの有効化などデバイスのセキュリティ構成状況をリアルタイムで把握できないことが、ネットワーク経由の不正侵入や内部に存在する脅威への対応を難しくしています。

セキュリティ構成がユーザー任せの場合、デバイス配布時に会社のポリシー通りに正しく構成しても、OSやアプリのアップデート時に変更されたりユーザーが自分の判断で手動で変更したりする恐れがあり、デバイスの構成を管理者が常に把握でき、ポリシーに違反するものを発見して対処することが肝です。

不適切なアップデート管理による脅威

アップデート管理を各ユーザーに任せると放置されることが多く、最新の脅威に対応できません。また、アップデートの影響を未検証のままユーザーが適用すると思わぬトラブルが発生することにつながりかねません。

アップデートを全対象デバイスに適用する前に一度テスト機で検証し、問題ないことを確認したうえスケジュールを組んでグループごとにアップデートを自動適用する仕組みも必要です。

シャドーITによる社内リソースへの脅威

管理対象外のデバイス（シャドーIT）から社内リソースにアクセスされる恐れもあります。管理外のデバイスは、不正に接続された悪意あるデバイスの場合もあれば、十分なセキュリティ対策が施されていない個人所有デバイスもあります。どちらにせよ社内のクラウドストレージやサービスに保存されたリソースが脅威にさらされる恐れがあります。

管理対象外のデバイスによる社内リソースへのアクセスを防ぐには、全デバイスを常時管理してポリシー違反のデバイスの接続を拒否し、アクセスがあった場合は管理者が対処できる仕組みを作っておくことが必須です。

Intuneによるリスク軽減効果

上記のリスク対策としてMicrosoftが提唱しているのが「モダンマネジメント」。従来オンプレミスでされてきたデバイス運用管理の仕組みをクラウドサービスの仕組みに変え、デバイスのインターネット接続を前提に社内外問わず散在するデバイスをマネジメントできるよう効率化。

中核ツールとしてMicrosoftが提供するのが「Enterprise Mobility＋Security（EMS）」で、デバイス管理ツールのIntuneが含まれています。Intuneは単体ライセンスもありますが単体ではアクセス制御機能が含まれず、その場合リスク対策としての効果は限定的。

モダンマネジメントで必要とされる4つの機能は、

デバイス管理機能
アップデート管理機能
ポリシー管理機能
アクセス制御機能

上記の管理機能によりデバイスの構成をポリシーに沿って整え、ユーザーに配布する「キッティング」業務の負荷軽減も期待できます。

「Azure AD」や「Microsoft 365」と連携可能なユーザー管理

ユーザー管理では、「Azure AD」や「Microsoft 365」のユーザー管理情報を取り込め、Intuneでユーザー作成も可能。ユーザーIDやパスワード、グループ、ジョブロール（役割）、役職などの情報も登録や管理ができます。

ジョブロールでは、例えば「Intune管理者」「Dynamics 365管理者」「ユーザー」など事前に定義した権限をリストから付与。また新規グループ作成もでき、グループを設定しておくとデバイス個別でなく複数デバイスに対して一括で設定の適用やアプリ配布が可能。ユーザーのプロファイル画面では、各ユーザーがどのグループに所属しており、どのような権限が割り当てられているかを確認できます。

プロファイル画面から管理者はパスワードのリセットができたり、自動でインストールするアプリケーションやクラウドサービスのライセンス選択などの設定も可能です。

設定したアプリケーションやライセンスは、登録デバイスの電源を入れる際に自動でインストールや付与がされ、本来あるべき構成ではないデバイスがあれば個別にリモートで操作して対処できます。

ポリシーに沿ったプロファイルの準備・適用が可能に

デバイス管理用の画面ではデバイスの登録や、構成やソフトウェアの更新状態の確認などができ、「Windows」「Android」「iOS」「iPadOS」「macOS」「Windows Mobile」といったOS別の管理が簡単です。

Windowsの場合では「Azure Active Directory」への参加や登録時に自動登録を促したり、「Windows Autopilot Deployment」の利用登録など7つの方法から選べます。

デバイスは構成プロファイルを作成して自動で構成。プロファイル作成時には機能ごとに整理された設定がテンプレートで選択可能。作成したプロファイルは、デバイスのOSのエディションやバージョンに応じて適用するよう設定可能です。

例えば、Wi-Fi機能のプロファイルを作成して適用すると、対象デバイスではユーザーがWi-Fi接続設定をすることなく起動すれば自動で接続できます。

アプリケーションの利用状況を把握

各アプリケーションは全てのアプリケーション一覧やプラットフォームごとの一覧から管理でき、この一覧画面上でアプリケーションを追加すると、ユーザー、デバイス、グループに対して自動でアプリケーションのインストールが可能になります。

Windowsアップデートの個別設定が可能

Windows Update管理機能では、自動アップデート適用の可否やアップデートのタイミングをデバイス別に設定可能。最新アップデートはデバイスによってはトラブルが生じるため、更新リリース後すぐに適用せず、検証用のグループだけに自動適用、検証の結果を見て問題なければ全対象デバイスに自動適用することが可能になります。

例えばWindowsPCの場合では「更新プログラム」や「Windowsドライバー」の更新の許可、「品質や機能更新プログラムの適用延期期間」などグループごとに設定できます。

ポリシーと異なる構成のデバイスを検知

プロファイルの適用状況の確認でポリシーに準拠できているかどうかの判別もできます。例えば、「ファイアウォール有効化」「HDD暗号化」「Windows Updateの一定以上のバージョンの適用」などのポリシーを設定しておけば、セキュリティリスク低減に効果的。

ポリシー違反デバイスには、ユーザーや管理者へのメール通知などの対処がとれたり強制的に社内リソースへのアクセスを制限をしたりデバイスの初期化をしたりできます。

社内リソースへのアクセスを柔軟に設定

デバイスの構成状態や利用場所などによって社内リソースへのアクセス制御も可能。ポリシー管理と連携して違反デバイスを社内クラウドリソースへのアクセスを拒否したり、社内サーバにアクセスするVPNアプリの使用を拒否したりできます。

アクセスする場所によって、社内ネットワークからはユーザーID／パスワードのみで接続を許可、社外からはユーザーID／パスワードに加えてワンタイムパスワードや生体認証など多要素認証を要求でき、脅威侵入リスクを低減します。

ネットワーク経由のキッティングで負荷軽減

従業員等へのPC配布時には、マスターイメージを作成後に手作業でクローニングしたPCを利用場所に配送する手間とコストがかかっていました。
IntuneではPCに反映したい設定と配信したいアプリをあらかじめ設定したうえデバイスやユーザーグループにひも付けられるため、ユーザー側ではログイン時に初期状態のPCへ設定情報やアプリが自動配信されます。このため『人手・時間・コスト』を大きく削減できる効果が高く、その点で非常にお薦めです。

これまで見てきたようにIntuneはモダンマネジメントに対応したプロビジョニングが可能。デバイスの構成管理を徹底、OSやアプリの適時更新をサポート、シャドーITによる社内リソースへの脅威を排除できるといった高い成果が期待できます。

カテゴリー: セキュリティ対策

月	火	水	木	金	土	日
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31