Windows10アップグレードをきっかけに、セキュリティー運用を見直す

Windows7の無償サポート期限が迫り、Windows10へのアップグレードが待ったなしの企業も多い。Windows10ではアップデートの仕組みが大きく変わり、情報システム部門の運用負荷が増している。OSの切り替えによる運用業務を見直すとともに、企業として最も重要なセキュリティー対策を再検討するチャンスでもある。ここでは、情報システム部門が取るべき対策のひとつを示したい。

Windows10へのアップグレードで、
情報システム部門の運用はどう変わるのか

2020年1月に無償サポート期限を迎えるWindows7。サポート切れOSを使用するのはセキュリティーリスクが高い。そのため、Windows10へのアップグレードを急いでいる情報システム部門が多いだろう。実際、PCの出荷が増えていて、入手できないという声も聞かれる。

そもそも、情報システム部門にとって、更新プログラムの適用やOSアップデートの運用は負担が大きい。運用に伴って、既存アプリへの動作検証、端末への適用状況の管理などの業務が発生するからだ。

Windows10では、Windows7と比べて更新プログラムやOSアップデート運用の手間がさらに増えることになる。まず、配布されるのはすべてが累積パッチ。つまり、最初のパッチが「A」であれば、次に配布されるのは「A+B」、その次は「A+B+C」と累積的に増えていく。大容量化するわけだ。

これは、配布に時間がかかるだけでなく、ネットワーク負荷が増加することを意味する。そのため、拠点ごとの管理サーバーなどに配布して、拠点内で各端末に再配布するなどの工夫が必要になるだろう。

さらに大きな負担となるのが、OSアップデートの頻度が増すこと。これまでのように年単位でのメジャーバージョンアップではなく、半年に一度、フィーチャーアップデート、つまりOSの機能強化を目的とするアップデートプログラムが提供されるようになる。しかも、フィーチャーアップデートのサポート期限が18ヶ月以内と限られているのだ。

サポート期限内にアップデートしないと、更新プログラムが配布されなくなる。そのため、検証の結果、バージョンアップしたOS上で業務アプリケーションが動かなければ、期限内にアプリケーションを改修して動くようにしなくてはならない。

このように、Windows10では、更新プログラムの適用やOSアップデートの運用スタイルが大きく様変わりする。それに伴って、セキュリティー対策も手間が増えることになるのだ。

Windows10へのアップグレードは、
セキュリティー対策を見直すチャンス

多くの企業では一般的に、PCやタブレットといった端末を暗号化する運用管理が行われている。情報システム部門は、暗号化ソフトを活用して、端末の紛失・盗難時にはハードディスクがきちんと暗号化されているかを確認したり、端末トラブル時には復元パスワードを発行したりしている。

「特に最近は、働き方が変わってきています。オフィスのフリーアドレス化やテレワークなど、自席を前提としない働き方が一般的になるのに伴って、PCは設備ではなく、個人に貸与された端末の意味合いが強くなっています。そのため、様々なロケーションでの利用を想定し、盗難や紛失に対する対策が求められるのです。遠隔でのデータ消去が難しいPCについては、暗号化した状態での運用が基本となります」(Winテクノロジ 営業本部 製品サービス事業部 事業部長補佐 大惠 傑)

一般的な暗号化ソフトでは、端末の暗号化だけでなく、トラブル発生時に必要な復元パスワードの管理や暗号化状態の管理など、集中管理機能が提供される。こうした機能により、情報システム部門が暗号化された各端末を一元管理できるのだ。

左から、Winテクノロジ 営業本部 製品サービス事業部 事業部長補佐 大惠 傑
PerfectWatch課 主任 常田 丈勝、PerfectWatch課 主任 原田 健作

Windows10へのアップグレードに伴って、暗号化ソフトの運用作業も手間がかかるようになるだろう。半年に1回のフィーチャーアップデートのたびに暗号化ソフトの検証が必要になるからだ。対応していなければ、対応するまでアップデートできない。

実際、「アップデートしたらソフトが動かなくなった」「暗号化ソフト自体のアップデートが必要になる」という声も聞かれる。暗号化ソフト自体のアップデートが必要になれば、大手企業では、数千台レベルの作業が必要となるだろう。検証やアップデートの工数も考慮すると運用コストは莫大だ。

こうした運用業務の手間は、Windows10にドライブの暗号化機能として標準搭載されているBitLockerを活用できれば、劇的に軽減される。BitLockerはOSの機能なので、「アップデートに伴って動作しなくなる」「他のソフトと競合する」といった問題が起こりにくいからだ。

検証作業の負荷が低いだけでない。OSと一体化されているため、アプリケーションの使い勝手も良い。しかも、暗号化機能のコストは、OSに組み込まれているため無料だ。

このように良いことばかりのように見えるBitLockerだが、企業への導入にあたっては、ひとつ問題がある。クライアントOSの機能であるため、端末単位での管理が基本で、回復パスワード管理・再発行といった運用支援機能がほとんど組み込まれていないことだ。

「BitLockerで暗号化された端末にトラブルが発生したとき、たとえばプリブート認証用のPinコードを忘れてしまったときやハードウェアが壊れてしまったときには、回復パスワードを入力しないとデータを復元できません。ただ、こうしたパスワードを個人が管理する運用では、組織レベルでセキュリティー対策を講じているとは言えない。情報システム部門は、回復パスワードの一元管理機能や端末のモニタリング機能を求めていたのです」(Winテクノロジ 営業本部 製品サービス事業部 PerfectWatch課 主任 常田 丈勝)

BitLocker の弱点をカバーするには何が必要か

Windows Vistaの時代から、「BitLockerで暗号化された端末を、企業として一元管理したい」という相談がWinテクノロジには数多く寄せられていたという。こうしたニーズに応える形で開発されたのが、「PerfectWatch for BitLocker」だ。

BitLockerの管理ツールとして開発されたPerfectWatch for BitLockerを使えば、BitLockerによる暗号化のステータスを定期的にモニタリングし、回復パスワードを一括管理できる。回復パスワードは、基本的にクラウド上の管理サーバーで管理する。

端末の暗号化状態を管理することで、未暗号化端末を把握して暗号化したり、盗難・紛失発生に該当端末の暗号化状態を確認したりすることも可能だ。またトラブル発生時には、管理している回復パスワードを利用してデータを復元し、一度利用した回復パスワードを破棄して新たな回復パスワードを発行できる。

BitLockerでは管理者の権限があれば、ユーザー自身で暗号化を解除できてしまう。しかし、PerfectWatch for BitLockerを使えば、このようなBitLockerの弱点をカバーできる。まず、標準機能として、BitLockerの解除オペレーションをキャンセルし、再度暗号化する機能が提供されている。さらにオプション機能として、PerfectWatch for BitLocker自体の削除や停止を制限する機能、ハードディスクの自動暗号化機能なども用意されている。

「機能の数は多くありませんが、ユーザーが求める機能はすべて用意されています。かゆいところに手が届くサービスの提供を心がけています。特に、重視したのは運用部分です。エンドユーザーや運用管理担当にもヒアリングして、一般的な暗号化ソフトにあってBitLockerになかった機能は補いました。BitLockerの管理ツールとしては唯一無二のツールであると多くのお客様からご評価いただいております。」(Winテクノロジ 営業本部 製品サービス事業部 PerfectWatch課 主任 原田 健作)

しかも、BitLockerはOSに標準搭載なので暗号化部分は無料。発生するのは、PerfectWatch for BitLockerが提供する管理機能に対する費用のみとなる。一般的な暗号化ソフトの場合、端末単位の暗号化機能のライセンス料、管理機能に対する費用の両方が必要となることを考えれば、コストメリットは極めて大きい。

Windows10へアップグレードする企業が増えるに伴って、昨年から今年、PerfectWatch for BitLockerの導入実績は昨年度の2倍、累計15万台に達しているそうだ。実際、Windows10への切り替えのタイミングで、3rdパーティ製の暗号化ソフトから切り替えているユーザー企業も少なくない。

Windows10へのアップグレートは、セキュリティー管理の運用を大きく見直すタイミングだ。運用の手間やコストを考えると、OS標準搭載であるBitLockerとPerfectWatchの組み合わせは検討すべき候補になるのは間違いないだろう。