マイクロソフト事例: 自分のデバイスから

〜個人の PC を業務で利用する〜

更新日: 2011 年 9 月 7 日

業務は正しく管理、構成された組織用の PC で作業するのが基本ですが、現実には、従業員の個人用 PC を業務で使いたいという場面がしばしばあります。しかし個人用の PC は組織が運営するネットワークの管理外にあるため、どのような構成の PC なのかを、中央から管理したり、監視したりすることは通常はできません。このため組織が求めるコンプライアンス管理と、フレキシブルな作業環境の実現を両立することは極めて困難でした。しかし System Center Configuration Manager 2007 と Windows 7 Enterprise/Ultimate クライアントを組み合わせたエンドポイント セキュリティ対策を行えば、個人用の PC であっても、組織のポリシーに合わせて必要なセキュリティ レベルを自動的に強制することができます。

たとえば日本マイクロソフトでは、既定では個人用の PC を社内の無線 LAN に接続することはできません。そこで、個人用の PC を業務で利用する場合には、その PC を一度会社に持参し、有線で社内ネットワークに接続して、ドメインへの参加を行います。こうすると、検疫システム (NAP) により、接続された PC に対して、必要なポリシーの強制的な設定や更新プログラムの適用、アンチウイルス ソフトウェア (Forefront Endpoint Protectionty) のインストールなどが実行され、社内ネットワークに接続するために必要な構成変更が自動的に実施されます。これにより個人 PC の社内使用が許可されます。また PC のハードディスクには、BitLocker による暗号化設定も行われます。これにより万一、業務情報をハードディスクに保存した個人用 PC を紛失したとしても、第三者がデータにアクセスすることはできません。必要なポリシーが強制的に設定された PC は、社内ネットワークに接続するための要件を満たしていますから、以後は DirectAccess によって社外から社内ネットワークに接続し、社内にいるときとまったく変わらない環境で社内リソースにアクセスし、作業できるようになります。このとき、 Forefront Unified Access Gateway (UAG) と DirectAccess を組み合わせることで、DirectAccess にネイティブに対応していない PC (Windows XP や Windows Vista) や IPv6 に対応していない PDA などを社内リソースに接続できるようになります。

個人用 PC は業務専用ではありませんから、会社の業務用 PC ではインストールされることのない個人用のソフトウェアがインストールされたり、個人用のハードウェアが接続され、ドライバーがインストールされたりする場合があります。これらの中には、ファイル共有ソフトウェアなど、コンプライアンス上問題となるものが含まれる可能性もあります。この問題に対しては、System Center Configuration Manager 2007 のインベントリ管理機能が有効です。個人用の PC が社内ネットワークに接続されると、この機能によって自動的に PC のハードウェアやソフトウェア に関する構成情報が収集され、システム管理者にレポートされます。もちろん、コンプライアンス管理上問題となるハードウェアやソフトウェアがあれば、それらの利用を禁止することも可能です。

個人用 PC の管理に必要な一連の処理は、自動的に実行されますから、クライアント ユーザー自身は最低限のルールに従うだけですみます (日本マイクロソフトの例なら、個人用 PC を業務に利用する前に、社内ドメインに参加させるというルール) 。ユーザーの負担があまりに大きいと、フレキシブルな作業環境の実現を断念せざるをえなくなったり、逆にルールを無視した PC の利用を誘発して、組織の情報システムが危険にさらされたりする恐れがあります。安全性を維持しつつ「自分のデバイスから」を実現するためのカギは、このようなシームレスで手軽なユーザー環境を実現できるかどうかにかかっています。Windows Server 2008 R2 および Windows 7 Enterprise/Ultimate ベースのネットワーク プラットフォームと、System Center Configuration Manager 2007 によるエンドポイント セキュリティを組み合わせることでこれが可能になります。手軽であればあるほど、組織にとってのセキュリティ リスクは低減され、ユーザーの作業効率を向上させることができるのです。

個人用 PC の管理に必要な一連の処理の相関図
Microsoft Intune ロゴ

マイクロソフトのサービスでは、クラウド経由でクライアント PC の管理とセキュリティ対策を行うことも可能です。

詳しくは、Microsoft Intune 製品サイトをご参照ください。また、30 日間無料トライアルをお試しください。

<用語解説と導入のための資料>

■ Forefront Unified Access Gateway

Forefront Unified Access Gateway (UAG) は、社外のエンドポイント (クライアント PC) が、社内のリソースに接続するためのゲートウェイとして機能し、セキュアなリモート アクセス 機能を実現します。Forefront UAG では、管理されたデバイスを所有する従業員だけでなく、管理外のデバイスを利用する社外パートナー スタッフなどに対しても、利用者の立場や目的に応じて段階的なアクセス制限を加えながら、社内情報リソースへのリモート アクセスを可能にします。DirectAccess で利用できることはもちろん、Forefront UAG Network Connector と呼ばれる専用の VPN コネクタや、SSTP (Secure Socket Tunneling Protocol) を利用するクライアントも接続可能です。Forefront UAG と Windows Server 2008 R2 の DirectAccess を組み合わせることで、リモート アクセスの幅を広げられます。例えば、Windows Server 2003 や非 Windows サーバーなどの IPv4 ベースのサーバー上で稼働している業務アプリケーションへのアクセスも可能にできますし、Windows Vista、Windows XP、PDA を含む非 Windows クライアントに対する SSL VPN 接続も提供できるようになります。

■ System Center Configuration Manager 2007

System Center Configuration Manager 2007 は、ネットワーク環境にある Windows クライアント/サーバーへのソフトウェアの展開、ソフトウェアの更新管理などを低コストで実現するシステム管理ソフウトウェアです。具体的には、ハードウェアやソフトウェアに関するインベントリの収集、アプリケーションや OS の展開、更新プログラムの適用、ソフトウェア利用状況のモニタなどが可能になります。これらは、多くの組織内ネットワークにおいて、IT Pro が対応を求められる管理業務であるとともに、手作業などが発生すると、システムの運用コストを大幅に増大させる要因になる部分です。System Center Configuration Manager 2007 を利用すれば、手間のかかる管理業務を自動化するとともに、ネットワーク管理を徹底させて、情報システムの完全性と安全性を高めることが可能になります。System Center Configuration Manager 2007 の最新バージョンである R3 では、管理者が複数のコンピュータで標準の Windows 電源設定を構成することも可能です。
2011 年末にリリース予定の System Center Configuration Manager 2012 では、Windows Phone をはじめとするモバイル デバイスもサポートされる予定です。

<関連リンク>

【情報収集・提案】

【設計・導入・メンテナンス】

【評価版】

  • System Center Configuration Manager 2007 R3 評価版

■ BitLocker

特定のファイルやフォルダーだけでなく、ディスク ドライブ全体を暗号化して、情報漏えいを防止する機能です。正しいパスワードなどを入力しない限り、コンピュータ システム全体が利用できなくなります。ドライブ全体が暗号化されているため、ドライブを別の PC に接続して内部を読み出すこともできません。特に Windows 7 Enterprise/Ultimate でサポートされる BitLocker To Go では、PC に接続された USB メモリやリムーバブル ハードディスクに対しても暗号化が有効になります。このため機密情報をコピーした USB メモリを万一紛失しても、第三者はメモリの内容にアクセスできません。つまり BitLocker を利用することで、PC 内部のハードディスクはもちろん、その PC に接続され、データがコピーされた USB メモリなどのリムーバブル ストレージについてもすべて暗号化が自動的に実施され、業務に使用した社外の PC がどのような状況に置かれたとしても、情報漏えいを防止できるようになるのです。

<関連リンク>

【概要・提案】

【導入・設計】

  • Bitlocker ホワイトペーパー (Word ファイル: 807 KB) (もはや利用できます)

ページのトップへ