MDMで解決する「Windows10」の効率的な管理方法
2015年7月に登場した「Windows 10」。多くの企業で旧バージョン(Windows XP/Vista/7/8)からの置き換えが進みましたが、企業のIT管理者はその管理に頭を悩ませています。特に、テレワークが一般的となった現在では、通信環境などの問題からセキュリティアップデート適用の遅れや、グループポリシーが反映されないなどの課題もあります。ここではWindows 10管理の問題を、脆弱性対策を中心に紹介します。
狙われるWindowsの脆弱性
世界でもっとも普及しているPCのOS(基本ソフト)は、マイクロソフトが提供するWindowsです。現在、主流になっているのは「Windows 10」で、マイクロソフトによると、世界で約13億台が稼働(2021年)しています。最新のバージョンは2021年11月にリリースされた「Windows 11」ですが、主にUIの改善や性能の向上であり、機能的に大きく変わったものではありません。
Windowsのユーザーは非常に多いことから、サイバー攻撃者のターゲットとなっています。Windowsの脆弱性を攻撃すれば、最大13億台に被害を与えることができるわけです。つまり、Windowsの脆弱性を利用すれば膨大な数の企業を攻撃でき、例えばランサムウェアに感染させて脅迫すれば非常に高額の身代金を手にすることができる可能性があるわけです。記憶に新しいランサムウェア「WannaCry」も、Windowsの脆弱性を悪用して感染を拡大しました。
こうした状況に対して、マイクロソフトではセキュリティ対策に注力し、脆弱性が検出されるとすぐに対応し、「Windows Update」としてアップデートや修正パッチを提供するようになりました。危険な脆弱性が見つかったなどの緊急時を除けば毎月アップデートが提供されています。ただし、このアップデート情報やセキュリティベンダーが公開する脆弱性の詳細情報は、サイバー攻撃者もチェックしています。
サイバー攻撃者は詳細な脆弱性情報を分析して、その脆弱性を悪用するための攻撃コードを作成し、それをマルウェアに組み込んで攻撃します。脆弱性情報公開から攻撃までの期間は非常に短くなってきていて、情報公開の翌日に攻撃が実行される場合もあります。脆弱性と一口に言っても種類がありますが、特に危険度が高いのは「リモートコード実行が可能な脆弱性」です。これを悪用されると、外部からPCを乗っ取ることができてしまいます。
出典:IPA:ソフトウェア等の脆弱性関連情報に関する届出状況 [2021年第3四半期(7月~9月)]
https://www.ipa.go.jp/files/000093991.pdf
Windows Updateおよびグループポリシーの問題
Windowsの脆弱性は非常に攻撃対象になりやすいので、月例アップデートが公開されたらすぐに適用するべきです。しかし、さまざまな理由で適用されないケースも多いようです。その中には、社員が一斉にWindows Updateを実行するとネットワーク帯域が圧迫され、通信速度が著しく低下してしまうといったケースもあります。非常に時間がかかって業務に影響が出るので、途中でキャンセルされてそのまま放置されてしまうこともあります。
最近はテレワーク環境が増えているため、社内ネットワークに比べると遅いネットワークでアップデートすることになる上に、VPNの帯域も圧迫してしまうことになります。さらに最近のマルウェア野中には、テレワーク環境で感染しても気づかれないように潜伏して、出社して社内ネットワークに接続したことを検知すると途端に活動を始めて感染を拡大するものもあります。
また、当然ながら脆弱性が存在するのはマイクロソフト製品だけではありません。あらゆるソフトウェアに脆弱性が存在する可能性があります。脆弱性対策情報ポータルサイトであるJVN(Japan Vulnerability Notes)などを見ると、さまざまなソフトウェアの脆弱性情報が毎日のように公開されています。Windowsの他にもユーザーの多いソフトウェアの脆弱性は狙われる傾向にあります。脆弱性の管理はセキュリティ上、重要な対策なのです。
Windows 10に限ったことではありませんが、長時間にわたって社内ネットワークに接続していないと、グループポリシー経由の設定変更が反映されないことがあります。これはテレワークならではのリスクといえるでしょう。また、テレワークでは個人所有のデバイスを利用したいというニーズも多くあります。管理者としては許可したいかもしれませんが、社内のActive Directoryに参加させるわけにはいかないというジレンマもあります。
JVNのWebサイト(https://jvn.jp/)には日々最新の脆弱性情報が公開されている
Windows 10管理の問題を解決するには
テレワーク環境にあるPCを管理するには、MDM(Mobile Device Management:モバイルデバイス管理)が有効です。MDMというとスマートフォンなどを管理するツールと考えがちですが、PCの管理に対応しているものもあります。MDMは、モバイルデバイスにインストールされているOSやソフトウェアのバージョン管理もできます。これにより、最新のバージョンかどうかを把握して、アップデートやパッチの適用を促すことができるのです。
また、インストールするソフトウェアを制限したり、用意しておいたソフトウェアを配布したりすることもできます。自動的な配布やオンデマンドによる配布も選択可能です。使用できるアプリケーションを制限することで、リスクの高いソフトウェアのインストールを抑制でき、バージョン管理も容易になるのです。
WindowsなどメジャーなOSやソフトウェアに関しては、Windows Updateなどの更新をスケジューリング可能です。例えばPCごとに時間をずらしてスケジュールを調整することで、ネットワーク帯域が圧迫されることを低減できます。また、ユーザーからの申請を受けて更新を許可するタイプの運用が可能なMDMもあります。これもネットワークの状況を見ながら承認できるため、ネットワーク帯域への負荷を抑えられます。
これまで社内ネットワークにあって何重にも守られていたPCが、テレワークによって社外で使われるようになりました。いまやPC単体で守らなければならない状況になっているので、Windows Updateといったセキュリティ関連のアップデートをしっかりと実施し、サイバー攻撃を受けるポイントとなる脆弱性にはできるだけ早く対処しておきたいところ。テレワーク時代のPC管理に最新のMDMを検討してみてはいかがでしょうか。