近年の働き方改革や、デジタルトランスフォーメーション（DX）の推進などの影響で、エンドポイントセキュリティの重要性が高まっています。

テレワークにより自宅や移動先などで、PCやスマホを業務で使用する機会が増えましたが、社外での業務用デバイスの利用は、セキュリティに不安を感じたり、管理が大変と感じたりする人も多いのではないでしょうか。

安全に社内のシステムやネットワークを運用するために、社内ネットワークに接続するPCやスマホなどのエンドポイントのセキュリティを強化することが求められています。

この記事では、エンドポイントのセキュリティ対策の一つである「PC検疫」について解説します。

検疫とは

ネットワークセキュリティにおける検疫とは、特定のネットワークに接続する前に、エンドポイント（PCやスマホなど）のセキュリティ状況を確認し制御する仕組みです。

具体的には、社内ネットワークとは別の検査用ネットワークに接続し、問題がない場合は社内ネットワークに再接続します。

仮に問題があった場合は社内ネットワークには接続せず、隔離・治療など適切な処置を行います。

治療後に再度検査を行い、問題がなければ社内ネットワークに接続されます。

これにより、ネットワーク内へのマルウェアの侵入を防いで安全なネットワーク環境を維持させることができます。

PC検疫の重要性

昨今、新型コロナウイルスの流行に伴うテレワークの拡大や働き方改革、DX推進などで場所に縛られない働き方が定着してきました。

それにより、PCやスマホなどの業務用デバイスを社外で利用する機会が増えています。これは、企業・組織におけるセキュリティ対策は、デバイスが社内ネットワーク内にあることを前提とした境界防御型の検疫では不十分といえる状況が増えていることも意味します。

社内ネットワークに接続されないデバイスにおいても、マルウェア感染や、脆弱性を狙った攻撃による不正アクセス、情報漏洩などの対策を講じることが重要です。

そこでPC検疫のような、 デバイスの所在が社内・社外関係なく、ネットワークを利用する際のセキュリティ対策を強化する仕組みが求められています。

PC検疫とは何か

PC検疫とは、ネットワークを利用するデバイスのセキュリティ状況を確認し矯正する仕組みです。

空港などで行われている検疫をイメージするとわかりやすいかもしれません。

空港の検疫所では、海外から来る旅客や貨物などを検査し、必要に応じて隔離や消毒などを行うことで、国内に病原体が侵入および蔓延するのを防いでいます。

PCの検疫もこれとよく似ており、デバイスに対し、

・マルウェアに感染していないか
・アンチウイルスソフトは最新の状態になっているか
・修正パッチは更新および適用されているか

などを検査し、セキュリティリスクのあるデバイスのネットワーク利用を制御し、リスクのある状態で継続利用することを防いでいます。

PC検疫の定義

PC検疫は、検査・隔離・治療の3ステップで行われます。

検査	セキュリティポリシーをもとに、OSが最新の状態にアップデートされているか、必要なセキュリティソフトが稼働しているかなどを検査。 セキュリティポリシーを満たし、検査結果に問題がない場合はデバイスの利用を可能とする。
隔離	検査結果に問題があった場合は、社内ネットワークの利用を制限するなどの対策を行う。 仮にデバイスがセキュリティ上の課題を抱えていたとしても被害を防ぐ、または最小限に抑えることが可能。
治療	対象のデバイスは必要な対策（Windowsのアップデートなど）を行う。 治療後に再び検査を行い、問題がなければ社内ネットワークに接続される。

特に、自宅や移動先など社外に持ち出したデバイスは、従来の境界型防御の対策に依存している場合、必要な対策が行えていない可能性があります。PC検疫を導入することで、他のデバイスやサーバーへの二次感染を予防し、社内ネットワークの安全を守ることができます。

PC検疫が必要な理由

エンドポイントセキュリティにおいて

・アンチウイルスなどのセキュリティソフトをインストールする
・OSやソフトウェアは常に最新の状態にしておく

ということは必須ですが、その対応は利用者任せになっているのが実態です。

また、IT管理者がインストールやアップデートを呼びかけても、全ての利用者が直ちに履行してくれるとは限らず、未対応のデバイスの存在は社内ネットワークにおいて大きなリスクになっています。

PC検疫の導入は、こういったリスクを低減することにつながります。

例えば、OSアップデート未実行などセキュリティリスクがあるデバイスに通信制御を行うことができるので、社内ネットワークへのマルウェア侵入の防止や、脆弱性を狙った攻撃、不正ソフトなどによる情報漏洩を予防することができます。

PC検疫のポイント

1台でも対策が不十分なデバイスがあると、ネットワークに繋がる全てのデバイスやサーバーにリスクが広がります。

それにより、個人情報・機密情報の漏洩、不正アクセス、Webサイトの改ざん、社内システムの停止といった、企業・組織にとって深刻な被害が起こる可能性があります。

このような被害にあわないためにも、以下ポイントを抑えのPC検疫を実施するようにしましょう。

ウイルス対策ソフトの導入

基本的なPC検疫のポイントとして、アンチウイルスソフトのインストールが必要です。

アンチウイルスをデバイスに導入しておくことで、マルウェアの侵入を未然に検知し、ブロックすることが可能です。

従来のアンチウイルスは、パターンファイル（マルウェア情報が掲載されたファイル）を用いた製品が一般的でしたが、近年の高度化し急速に未知・亜種が増え続けるマルウェア攻撃には、対応しきれない事例が増えています。

そのため、「パターンファイル」を用いないAIを活用するなどしたアンチウイルスの検討をおすすめします。

「パターンファイル」に頼らないアンチウイルスソフトであれば、未知・亜種のマルウェアも正しく検知することができます。

デバイスが最新の状態に保たれているかの確認

サイバー攻撃の中には、WindowsなどのOSやアプリケーションの脆弱性を狙った攻撃手法があります。そうした攻撃の被害にあわないためには、OSやアプリケーションを常に最新のバージョンにアップデートする必要があります。

最新の更新プログラムには、新しい機能が追加されるほかに、セキュリティ上の問題（脆弱性）を解決するためのプログラムが含まれていることが多いので、公開されたら速やかに適用することが重要です。

Windows のアップデートの確認方法は以下の通りです。
1.スタートボタンをクリックし、設定をクリックします。

出典: Microsoft｜Windows Updateの利用手順

2.更新とセキュリティをクリックします。

出典: Microsoft｜Windows Updateの利用手順

3.Windows Updateを選択します。その後、お使いのコンピューターに応じてメッセージが出るので、そちらをご確認ください。

出典: Microsoft｜Windows Updateの利用手順

何らかの理由で更新処理が途中で中断されてしまったり、手動更新の設定のまま適用が遅れたりしてしまうと、セキュリティリスクが極めて高い状態になります。

適用忘れを避けるためにも自動更新の設定にするのが安心です。

デバイスが正しい状態であることを確認するポイント

デバイスを安全な状態で利用できるよう、以下の点を確認するようにしましょう。

・Windows（OS）アップデートは最新になっているか
・必要なアプリケーションがインストールされているか
・必要なアプリケーションが最新のバージョンで稼働しているか
・従業員が社内ルール（ポリシー）を守れているか

Windows（OS）アップデートは最新になっているか

脆弱性を狙ったサイバー攻撃からデバイスを守り、安全に使用するために、OSのアップデートは徹底しましょう。

OSに脆弱性が見つかった場合、最新バージョンの更新プログラムにはその脆弱性を解消するための修正パッチが含まれているため、適用することで安全な環境になります。

通常、Windows（OS)のアップデートは自動で行われる設定になっていますが、何らかの原因で更新が失敗したり、無効化されたりしていると脆弱性が放置されることになります。

脆弱性を悪用するサイバー攻撃から身を守るためにも、Windows（OS)アップデートは公開されたら速やかに適用するようにしてください。

必要なアプリケーションがインストールされているか

業務で使うデバイスには、アンチウイルスソフトなど必要なアプリケーションがインストールされていなければいけません。

インストール漏れや未稼働の状態のデバイスは、マルウェア感染や攻撃をうける可能性が高く、ネットワークに繋がる他のPCやサーバーへも被害が拡大する恐れがあります。

マルウェアに感染すると

・個人情報・機密情報の漏洩
・データの暗号化
・不正アクセス
・システムの停止

など様々な被害が想定されます。

そのような被害を防止するために、IT管理者は、すべてのデバイスのアプリケーションの使用状態を把握するようにしてください。

従業員が社内ルール（ポリシー）を守れているか

「OSは最新の状態にアップデートされているか」「必要なアプリケーションが稼働しているか」などの、セキュリティポリシー（社内のセキュリティ対策のルール）は、IT管理者だけでなく利用する全ての従業員が意識しなければいけません。

しかしながら、「面倒くさいから」「これくらいは大丈夫だろう」などの理由で、全ての利用者がポリシーを守ってくれるとは限りません。

ポリシーに違反したデバイスを利用し続けることは、マルウェア感染などのリスクがあります。

IT管理者は、そのようなポリシーを守れていない利用者への呼びかけやソフトウェアの設定管理などの対応に追われて、本来行うべき業務の遂行が滞ってしまいます。

IT管理者の作業負担を減らすためにも、セキュリティに対する従業員の意識向上をはかることが大切です。

LANSCOPEエンドポイントマネージャー クラウド版で行うPC検疫

LANSCOPE エンドポイントマネージャー クラウド版（以下エンドポイントマネージャー）の「デバイス検査機能」には、以下の3つの特長があります。

・エージェント形式のため、デバイスの所在（社内 / 社外）を問わず運用・管理が可能
・デバイスの資産情報をベースとした豊富な検査項目
・検査（ポリシー）違反時には警告 or 制御を自動実行

エージェント形式のため、デバイスの所在（社内 / 社外）を問わず運用・管理が可能

「デバイス検査」は、対象のWindowsデバイスに、デバイス検査機能専用のエージェントをインストールし、専用の管理コンソールで運用します。

エージェントが検査と制御を行うため、社内のデバイスはもちろん、テレワークや移動先などの社外にあるデバイスも検査や制御が可能です。

デバイスの資産情報をベースとした豊富な検査項目

・古いOSを利用していないか
・最新のMicrosoft セキュリティパッチが適用されているか
・必須のセキュリティソフトがインストールされているか

など、管理者があらかじめ設定した項目を検査し、違反しているデバイスを検知することが可能です。

サーバー上のデバイスの資産情報を活用した豊富な検査項目で、違反のあるデバイスを検知します。

検査（ポリシー）違反時には警告 or 制御を自動実行

検査項目に違反があった場合は、デバイスに警告のダイアログを表示させます。

ダイアログの警告メッセージは任意で設定できるので、デバイス利用者に実施して欲しい内容などを通知することも可能です。

警告のメッセージと同時に、特定のIPアドレスまたはドメイン以外への通信を制限し、社内ネットワークの利用を禁止します。

また、警告メッセージや通信制限に加えて、特定のアプリの起動を自動実行させる設定ができます。例えば必要なアプリがインストールされていないデバイスには、アプリのインストーラーを保存している社内ポータルサイトを自動起動させて、利用者がわかりやすく対応できるように工夫することができます。

このように、これまでIT管理者が行っていたポリシーを守れていない利用者への警告や対応が、「デバイス検査」機能により自動化できるので管理業務の負担を大幅に軽減できます。

まとめ

本記事では「PC検疫」をテーマに、その概要や重要性について解説しました。

PC検疫の重要性の再確認

セキュリティ対策が不十分なデバイスは、マルウェア感染や様々な被害をうける可能性があります。

中には、気付かれないように活動するマルウェアも存在し、知らないうちに被害を広げてしまうかもしれません。

セキュリティポリシーに違反しているデバイスの存在は、即ちネットワーク全体のリスクに繋がります。

IT管理者にとって不安の種である、ネットワークに接続するデバイスのセキュリティ対策状態を、一元管理できるPC検疫は、PCのセキュリティレベル維持や安全なネットワーク環境を維持させるだけでなく、管理作業の負担の削減にも期待できるでしょう。

定期的なメンテナンスの推奨

PC検疫を導入したからといって、社内ネットワークのセキュリティ対策は万全というわけではありません。企業や組織を狙うサイバー攻撃は日々高度化しています。

新たな脅威に備え、社内ネットワークを守るためにも、エンドポイントのセキュリティ対策は継続的にアップデートを行うことが重要です。

PC検疫を正しく理解したうえで、総合的なセキュリティ対策を行い、安全な社内ネットワーク環境を維持しましょう。