はじめに

エンドポイント管理とセキュリティの境界を曖昧にする要素は数多くあります。たとえば、エンドポイントの管理、設定、アプリケーションとソフトウェアの管理、そしてエンドポイントへのパッチ適用です。実際のところ、デバイスの管理と保護は非常に密接に関係しているため、これら2つの機能に加え、IT組織に必要なその他のタスクも実行できる単一のプラットフォームに統合することは理にかなっています。ここでは、統合エンドポイント管理(UEM)がセキュリティを支援する7つの方法をご紹介します。

#1 検出と可視性

現在保有しているものを保護するための第一歩は、ネットワーク上に何が存在するかを把握することです。デバイスにどのソフトウェアがインストールされているかを把握していなければ、必要なパッチが適用されているか、デバイスの強化が必要かどうかなどを判断できません。企業ネットワークに常時接続されているデバイスであれ、数分程度だけ一時的に接続されて消えてしまうデバイスであれ、ネットワーク全体にあるすべてのデバイスと、それに接続するあらゆるものを見渡せる必要があります。UEMは、オンデマンド検出とパッシブ検出を通じて、この可視性と検出機能を提供します。ネットワーク上のデバイスやソフトウェアを常に監視し、ITチームにアラートを発して状況を把握できるようにします。

#2 コンプライアンス管理

少し前まで、コンプライアンス管理とは、デバイスがパスワード、つまり強力なパスワードで保護されていることを確認することでした。現在では、デバイス暗号化、多要素認証、デバイス追跡、リモート管理など、対応すべき要素は多岐にわたります。さらに、HIPAAやPCI DSSなどの政府機関や規制機関のポリシーを重ねて適用する必要があり、違反やコンプライアンス侵害が発生すれば、罰金や手数料につながり、ビジネスを脅かす可能性があります。UEMは、内部・外部を問わず、組織が必要とする、または遵守を求められるポリシーに各ユーザーと各デバイスが準拠していることを確保することで、セキュリティを支援できます。

#3 パッチ管理

パッチ適用の範囲は大きく広がっており、デバイスの脆弱性を防ぎ、環境への侵害を防止するために実行できる最も効果的な対策の1つです。UEMは、パッチ適用が必要な対象と適用済みの対象について優れた可視性を効率的に提供し、それらのパッチが実装されているという確信をもたらします。これは企業ネットワークに接続されたデバイスだけでなく、企業ネットワーク外のデバイスにも当てはまります。

これは、OSだけでなくアプリケーションへのパッチ適用にも当てはまります。定期的に公開される主要な脆弱性の一覧を見ると、その多くはアプリケーションに存在しています。UEMは、オペレーティングシステムだけでなく幅広いアプリケーションをスキャンし、パッチ適用または更新が必要な対象を把握できます。また、更新プログラムが利用可能になり次第、自動的に適用するように設定できます。

#4 アプリケーション制御

アプリケーション制御で目指すべきバランスは、リスクの低減と生産性の向上の両立です。システムとユーザーを保護しながら、同時にユーザーが可能な限り効率的に業務を行えるようにすることです。そこで役立つのがアプリケーション制御です。

私たちは皆、企業ネットワークに対して未知の脅威となるアプリケーションが実行される可能性に直面しています。アプリケーション制御により、デバイス上で実行されているアプリケーションを特定できるだけでなく、アクセスを制限することもできます。これを手作業で行うには、多大な時間が必要になる場合があります。アプリケーション制御は、こうしたプロセスの多くを自動化することで、必要な時間を短縮できます。これにより、必要なアプリケーションのみがインストールされるようにします。また、適切なアクセス権限を備えた適切なアプリケーションを、適切なタイミングでユーザーが利用できるようにします。同時に、不要なアプリケーションの実行を防止します。さらに、場合によってはアプリケーションを削除する必要もあります。UEMは、インストールから使用制御、ブロック、削除まで、アプリケーション管理の包括的なソリューションを提供できます。

#5 権限管理

ITが直面する課題の1つは、ユーザーにコンピューターの管理者権限を与えるべきかどうかという点です。権限管理は、このジレンマの解決に役立ちます。この問題を解決する方法は2つあります。1つは、ユーザーのアカウントに基本的なユーザー権限を割り当て、必要に応じて特定のOSまたはアプリケーションの権限を昇格させ、ユーザーのニーズが満たされたらそれらの権限を縮小またはリセットする方法です。こうした特定の機能と権限により、基本的なユーザー権限では実行できない操作をユーザーが行えるようになります。ただし、必要なOS機能の要件により、ユーザーを管理者として設定しなければならない場合もあります。その場合、権限管理によって特定の管理者権限を制限し、権限昇格や調整を抑えることができます。

#6 セキュアなリモートアクセス

IT組織が管理しなければならないデバイスの数は膨大です。さらに、その環境は変化しています。大規模なリモートワーク人材を抱えるようになり、セキュアなリモートアクセスの必要性はかつてないほど高まっています。これらすべてのリモートデバイスを管理するためのルールとポリシーを確立し、そのデバイスがどこにあっても適切に管理されていると信頼できるようにすることは極めて重要です。UEMツールは、リモートデバイスを管理し、適切に設定され、常に最新の状態に保たれるようにします。また、侵害されたデバイスやコンプライアンスに準拠していないデバイスを特定し、特定のデータ、サービス、さらには企業ネットワークへのアクセスを防止できます。UEMはデバイスとの接続を維持し、デバイスを更新することで、コンプライアンスに準拠させ、必要なアクセスを許可できるようにします。

#7 システム全体のリセット

システム全体のリセットとは、オペレーティングシステムのリセットやデータの削除だけを指すものではありません。障害対応のシナリオや、デバイスを別の用途に転用する必要がある場合に、再イメージ化することも含まれます。組織内でUEMソリューションを活用すれば、より多くの選択肢を得られます。

ウイルスやその他のマルウェア/ランサムウェアなどによってデバイスが何らかの形で侵害された場合、そのマシンを正常な状態に戻す方法はいくつかあります。まず、信頼できるマルウェア対策ツールがある場合は、それを使ってデバイスをクリーンアップし、正常に稼働する状態に戻ったと確信できるようにすることができます。場合によっては、それが適切な解決策となります。

2つ目の選択肢は、より抜本的な判断として、侵害されたデバイスを交換することです。デバイスを正常な状態に復元することが、時間やリスクに見合わない場合もあります。これは一部のIT組織にとって有効な方法ですが、コストの高い選択肢でもあります。

3つ目の選択肢は、その中間となる方法、つまりデバイスをリセットまたは再イメージ化することです。この選択肢は、デバイスを交換せずに済ませたい一方で、侵害の影響を取り除いた後も以前と同じように動作し、追加のリスクがないと確信したい場合に有効です。UEMを使用すれば、デバイスをリセットし、組織のゴールドイメージで再イメージ化し、ユーザーが以前使用していたアプリケーションをインストールできます。UEMでは、ユーザープロファイル情報やユーザーデータをデバイスに戻すことも可能です。また、デバイスを迅速にリセットすることで、短時間で稼働状態に戻せます。多くの場合、複数のツールを実行してデバイスのクリーンアップを試み、リスクが完全に解消されたことを期待するよりも早く復旧できます。

セキュリティを支援するためにUEMを活用すべき理由

まとめると、UEMソリューションがセキュリティニーズをどのように支援できるかについて説明してきました。では、なぜそれが重要なのかにも触れておきましょう。UEMとセキュリティを組み合わせることで、まず、組織が多様なデバイスを管理する際に生じる管理上の複雑さを軽減できます。次に、デバイスを保護するということは、適切に管理し設定することを意味します。これは現在、多くの場合エンドポイント管理ツールで行われています。そして3つ目に、デバイスのパフォーマンス向上につながり、エンドユーザーにより優れたユーザーエクスペリエンスを提供できます。

Ivantiの統合エンドポイント管理ソリューションが、あらゆる場所で働く環境をどのように支えているかをご覧ください。