- ソリューション
- 実践講座
- 2010年冬号
クライアント環境の統制を強力サポート!McAfee Application ControlによるITライフサイクルマネジメントのススメ
本講座は、ITエンジニアの為の明日から役に立つシステム構築スキルや技術・製品スキルなどをご提供します。まだお客様へご提案したことがない製品や技術でも、ポイントを押さえた実務知識を短時間に把握したい方にお勧めです。
近年、クライアントPCの利用環境が多様化/複雑化するに伴い、クライアント環境の統制をとるのが難しくなってきており、IT運用コストが増大する傾向にあります。その結果、本来は生産性向上を支援するためのITが、本業であるビジネスの生産性を低下させてしまうケースも少なくありません。そういった中で、ITのガバナンス統制によりIT運用コストをより一層削減しようと、ITライフサイクルマネジメントが注目を集めています。 今回のSIerの為の実践講座では、 エンドユーザによるアプリケーション追加を完全にコントロールすることが可能な、McAfee Application Controlによるホワイトリストソリューションを紹介します。
By 小池 泰治
Macnica Networks Corp.
クライアント環境を統制するための制限付きユーザ運用の課題
ITライフサイクルマネジメントに関する詳細な説明については今回の本題ではないので省略しますが、簡単に言うと「IT資産のライフサイクルのプロセスをコントロールすることで、運用コストを削減し、本業の生産性を向上する」取り組みのことを指します。
それではIT資産のプロセスをコントロールするうえで重要なポイントは何でしょうか?それは、IT資産に対するガバナンスを統制すること、つまりクライアント環境を勝手に変更させないようコントロールすることです。いくらインストール禁止などと言葉だけで喚起したとしても、エンドユーザがインストールできてしまう環境であれば統制は効かず、本来のITライフサイクルマネジメントは実現できません。
クライアント環境を変更させないための一般的な方法として、エンドユーザに管理者権限を付与せずに、制限付きユーザで運用させるという方法があります。しかし、制限付きユーザではある程度の変更は防げるものの、完全に防ぐことはできません。まずは、制限付きユーザ運用の課題を考えてみたいと思います。
制限付きユーザ運用のメリットと課題とは?
制限付きユーザによる運用では、システム関連のフォルダに対して書き込みが制限されます。これにより、一般的には下記のようなメリットを享受できます。
- システムが不用意に更新されない
- アプリケーションの互換性を維持できる(運用トラブル削減)
- システムの改ざんなどを防げる(セキュリティ強化)
- システム領域への書き込みを行うアプリケーションをインストールできない(ITガバナンス強化)
しかし、これは裏を返すと下記のような課題が見えてきます。
- システムの更新にあたっては管理者による操作が必要になる(運用コストの増大)
- ユーザ領域にはアプリケーションのインストールが可能(クライアント環境変更を禁止できない)
図1. 制限付きユーザによる運用イメージ
上記のように、制限付きユーザによる運用であればある程度統制できるものの、結局は運用コストを増大させてしまったり、クライアント環境の変更を完全には防げなかったりという問題に直面します。制限付きユーザ運用によるデメリットの影響が大きいと判断された場合は、管理者権限付与による無法状態での運用を選択してしまうケースも少なくありません。しかし、それでは制限付きユーザ運用によるメリットをすべて捨てることになり、ITライフサイクルマネジメントの実現はより一層遠くなってしまうでしょう。
また、Windows Vista以降、UAC機能が追加されました。当初は、管理者権限+UAC運用によって制限付きユーザによる問題をクリアにしてくれるとの期待があったものの、システム変更は最終的にはエンドユーザの判断に一任されてしまうため、問題の解決とはなりません。また、UAC環境での動作に制限事項があるアプリケーションが多いのも事実で、まだまだUAC環境での運用には不安要素が多いのが実情です。
ホワイトリスト型実行制御 McAfee Application Controlとは?
制限付きユーザによる運用の課題が見えてきたところで、次にホワイトリスト型の実行制御製品であるMcAfee Application Controlについて見ていきます。
ホワイトリストとは?
ここでいうホワイトリストとは、実行可能なプログラムのリストのことを指します。アンチウィルスなどのシグネチャによって悪意のあるプログラム実行を防ぐブラックリストと、ちょうど対義語にあたります。ホワイトリストでは、実行可能なプログラムがあらかじめ定義されるため、新たに追加されたプログラムの実行を完全にブロックできます。これにより、マルウェアのような不正なプログラムの実行を完全に阻止することができるため、システムのセキュリティレベルを大幅に高めることが可能です。
ホワイトリストが注目されてきている背景
近年(特に2007年以降)、過去に例を見ないペースでマルウェアが増加しており、現在数千万件を超える数が確認されています。さらに、マルウェアの目的も愉快目的から金銭目的に変わってきており、マルウェア感染によるリスクが高まってきています。これまでは、ブラックリスト型のアンチウィルスによる対応が一般的でしたが、マルウェアの数が増えてきたことで、アンチウィルスでは対応が難しくなってきています。
そういった中で、信頼できるプログラムの実行だけを許可するホワイトリスト方式が注目を集めています。従来のシグネチャに頼るブラックリスト方式から脱却し、ホワイトリスト方式を採用することで、あらゆる未知のマルウェアから確実にシステムを守ることができるのです。
McAfee Application Controlとは?
McAfee Application Controlは、ホワイトリストによる実行制御を実現するMcAfee社のセキュリティ製品です。ホワイトリストの自動生成や、ダイナミックホワイトリスティング機能などの特徴があります。
- ホワイトリストによる実行制御、改ざん防止
- ローカルディスクスキャンによるホワイトリスト自動生成
- ホワイトリスト運用を可能にするダイナミックホワイトリスティング機能
- 少ないパフォーマンス劣化
- レガシーOSに対応
- McAfee ePolicy Orchestrator連携
※今回のソリューションに関連する機能は赤字としています。
制限付きユーザ運用の課題を解決する『ホワイトリスト+管理者権限』ソリューション
それでは、制限付きユーザ運用の課題を解決するソリューションを紹介します。
それは、『ホワイトリスト+管理者権限』環境にて運用する方式です。なぜこの運用方法が課題を解決できるのか、どのようなメリットがあるのかを解説します。
図2. 『ホワイトリスト+管理者権限』による運用イメージ
まずこのソリューションの概要ですが、McAfee Application Controlによるホワイトリスト環境を構築し、エンドユーザには管理者権限を付与します。管理者権限を与えたとしても、ホワイトリスト環境では、勝手にアプリケーションをインストールできなくなります。また、ホワイトリスト上のプログラムは改ざんできないという機能があります。これらのホワイトリストの機能によって、下記を実現できます。
- 追加アプリケーションのインストールを完全に防止
- システム関連のプログラムの改ざんを完全に防止
- すべての未知のマルウェアの実行を完全に防止
エンドユーザによるアプリケーションの追加を完全に防止できるため、制限付きユーザ運用では実現できなかった、クライアント環境の変更禁止を強制できるようになります。
それでは実際に、『ホワイトリスト+管理者権限』運用において上記のようなブロックが実現できるか、検証確認してみたいと思います。ここでは、『制限付きユーザ』と『ホワイトリスト+管理者権限』の2つの方式について、下記の内容について検証した結果を紹介します。
A. 新規アプリケーションのインストールが防止できるか?
検証内容
- Windows XPの環境で、制限付きユーザがMcAfeeのVirusScanをインストールしてみる
- Windows 7の環境(UAC有効)で、制限付きユーザがMcAfeeのVirusScanをインストールしてみる
- ホワイトリスト環境で、管理者ユーザがMcAfeeのVirus Scanをインストールしてみる
検証結果
- 制限付きユーザではインストールできないようVirusScan側で制御されている
- UAC制御によりインストールできない(管理者権限を持っているとインストールできてしまう)
- ホワイトリストに含まれないプログラムのため、管理者権限を持っていてもインストールはブロックされる
ホワイトリストの環境であれば、管理者権限を持っていても新規アプリケーションのインストールをブロックできていることが分かります。
B. システムの改ざんが防止できるか?
検証内容
- Windows XPの環境で、制限付きユーザがC:\WINDOWS\Notepad.exeの名前を変更(改ざん)してみる
- Windows 7の環境(UAC有効)で、制限付きユーザがC:\WINDOWS\Notepad.exeの名前を変更(改ざん)してみる
- ホワイトリスト+管理者権限環境で、C:\WINDOWS\Notepad.exeの名前を変更(改ざん)してみる
検証結果
- 制限付きユーザでは改ざんできない
- UAC制御により改ざんできない(管理者権限を持っていれば改ざん可)
- ホワイトリストで管理されているプログラムは、改ざんをブロック
ホワイトリストの環境であれば、管理者権限を持っていても新規アプリケーションのインストールをブロックできていることが分かります。
C. インストールできてしまうアプリケーションが存在するか?
検証内容
- Windows XPの環境で、制限付きユーザがFirefoxをインストールしてみる
- Windows 7の環境で、制限付きユーザがFirefoxをインストールしてみる
- ホワイトリスト環境にて、管理者ユーザがFirefoxをインストールしてみる
検証結果
1.2. 制限付きユーザであっても、Firefoxがインストールできてしまう
2. 管理者ユーザであっても、Firefoxがインストールできない
制限付きユーザでは防げなかった特定アプリケーションの追加を、ホワイトリストの環境であれば防げることがわかります。つまり、クライアント環境の完全なる統制が可能となります。
運用コストを大幅に軽減できる「信頼インストーラ」機能に注目!
それでは、アプリケーションをインストールしなければならない場合はどうすればよいのでしょうか?制限付きユーザの場合は、運用管理者(ヘルプデスク)が1台1台端末に管理者権限でログインし、インストールを行っていくというのが一般的な対処法です。ほぼアプリケーションの更新が無いという前提ではあるものの、実際に運用してみたら更新作業が大量に発生し、運用コストが大きく膨れ上がってしまうケースも少なくありません。
一方、McAfee Application Controlには、特定のプログラムによるインストール実行を許可し、インストーラによって追加されたプログラムを自動的にホワイトリストに追加するという機能があります(これを信頼インストーラと呼びます)。この機能を活用することで、エンドユーザが自分でアプリケーションをインストールできるようになります。また、許可するのは特定のインストールプログラムだけなので、作業員が管理者権限でウィルスを埋め込んでしまうといったリスクも発生しません。 また、エンドユーザがインストールしたかどうかをePolicy Orchestratorによるレポーティング機能によって把握することも可能です。次に、ePolicy Orchestratorで出力可能なサンプルレポートを紹介します。
McAfee ePolicy Orchestratorのレポート機能
McAfee Application Controlは、非常に柔軟にカスタマイズ可能なレポーティング機能を有しています。最後にクライアント環境の統制を強力に支援してくれるサンプルレポートを見てみましょう。
実行ブロックレポート
McAfee Application Controlによって実行がブロックされたイベント数の遷移を線グラフで確認できます。
また、フィルタリング条件を変更することも可能です。エンドユーザがエクスプローラから起動しようとした場合のみという条件を指定すると、エンドユーザが故意にインストールしようとしてブロックされたことが分かります。
許可されたプログラムがインストールされたことを確認
上記でも説明したとおり、信頼インストーラの機能を活用することで、ホワイトリスト環境であっても特定のアプリケーションのインストールが可能です。下記が実際の設定画面のイメージとなります。
信頼インストーラ設定画面
また、McAfee Application Controlでは、クライアントのインベントリ情報を参照できます。
インベントリ情報には、プログラムのハッシュ値やバージョン情報なども含まれています。これらの情報を活用することで、許可されたプログラムによるインストールが実際に行われたかを確認するためのレポートも作成できます。
これにより、エンドユーザにインストールを任せたとしても、管理者はインストール状況を把握できるようになります。現地に行かなくてもエンドユーザに対してインストールが徹底できるため、クライアント環境の統一を可能にします。
まとめ
最後に、今回のポイントを整理します。
- ITライフサイクルマネジメントを成功させる上で重要なポイントは、クライアント環境の変更禁止を強制させることである
- 制限付きユーザの運用では、クライアント環境の変更禁止は実現できない
- 『管理者権限+ホワイトリスト環境』であれば、完全に変更禁止を実現!
- 制限付きユーザの運用では、クライアント環境の更新の際に運用コストが増大する
- 『管理者権限+ホワイトリスト環境』であれば、クライアント環境更新時のコストを抑えられる。更新状態はePolicy Orchestratorによってレポーティング可能!
最後に
今回、ITライフサイクルマネジメントを成功させるために、McAfee Application Controlによるホワイトリスト環境を構築することで、クライアント環境の変更を完全にコントロール可能なソリューションを紹介しました。ホワイトリストはクライアント環境をコントロールするうえで非常に有用であり、さらにセキュリティ上のメリットも非常に大きいソリューションです。ユーザが意図しない外部からのセキュリティリスクのほとんどはマルウェアによるリスクです。ホワイトリスト環境であれば、導入時のシステム状態のままでシステムを更新しなくても、マルウェアからのリスクを完全に排除できます。このセキュリティ上のメリットも、ITライフサイクルを強力にサポートしてくれると確信しています。
ぜひITライフサイクルマネジメントソリューション実現にあたって、McAfee Application Controlの活用を検討いただければと思います。小池 泰治
主にセキュリティ・ネットワークのソフトウェア製品を中心に提案・導入・コンサルティングを実施しているエンジニア。McAfee Application Controlに関しては、日本での販売開始時から携わっており、当製品に対して豊富な知識や技術を持っている。McAfee製品全般の提案や導入実績は多数。
