ソフトウェア管理が必要なワケ

第二回第三回では、PCに接続する外部メディアやPCの操作ログといった、どちらかと言うとハードウェア寄りのIT資産管理について説明してきた。しかし当然ながら、OSやアプリケーションなど企業内で使われているソフトウェア資産を適切に管理することもIT資産管理における重要なテーマである。そこで今回は、IT資産管理の中でもソフトウェア管理にフォーカスして解説したい。

まずソフトウェア管理の基本となるのが、企業にとってリスクとなるソフトウェアの存在を発見し、その起動を制御することである。例えばファイル共有ソフトやメッセンジャーソフトなどが各社員の手で勝手に端末へインストールされてしまうと、情報漏えいリスクが増大することになる。これとは逆に、なくてはならないソフトウェアが正しくインストールされ、かつ適切に動作しているかを監視することも、ソフトウェア管理の大事な要素だ。例えばウイルス対策ソフトが許可なくアンインストールされていたり、動作を止められたりしていたとしたら、マルウェアに対して無防備な、極めて危険な状態となってしまう。実際、そうしたケースは多いと言われている。

また、アプリケーションやOS自体は許可されているものだとしても、最新のセキュリティパッチが適用されていなかった場合にもやはり、脆弱性のリスクが生じてしまうことになる。ウイルス対策ソフトの定義ファイルについても同様で、最新の状態を保っておくことが欠かせない。このように、ソフトウェア管理では脆弱性を管理することも必要となるのである。

さらに、コンプライアンス違反を防止するためのライセンス管理も、広義でのソフトウェア管理に含まれる。もしも企業内でライセンス違反のアプリケーションが使われていた場合には、違反金や賠償金が課されるなどして社会的信用の失墜にもつながりかねない。 また、それぞれの機器に、どのようなソフトウェアがインストールされているかだけでなく、そのソフトウェアのバージョンやライセンス形態まで把握することで、無駄なソフトウェアの購入を未然に防ぎ、最適なタイミングで一括してライセンス更新を行うことも可能になる。

1台のPCには2000以上のアプリケーションが──どう管理すべきか

ソフトウェア管理における、ソフトウェアの種類の管理と起動制御、脆弱性の管理、それにライセンス管理は、それぞれ密接につながった関係にあるが、このうち脆弱性の管理とライセンス管理については次回以降に詳しく解説することにして、ここではソフトウェアの種類の管理と起動制御について説明することとしよう。

ソフトウェア管理がハードウェアの管理と大きく異なるのが、管理対象となる”数”だ。企業のクライアントPC1台には平均して2000以上もの実行ファイル(EXEファイル)が存在していると言われている。つまり、500台のPCを使用している企業の場合、のべ100万にもおよぶ実行ファイルを管理しなければならないのである。ソフトウェアの数については、例えば、社内で使用を許可していたメールアプリケーションがバージョンアップによりチャット機能などが加わった場合に、企業によっては情報漏えい防止のため使用自体を禁止しなければならなくなる、というようなケースが発生することは想像に難くない。同じアプリケーションであっても、バージョンの変化で異なる挙動を行うケースまで想定すると、単にソフトウェア名称による管理というのは、いささか心許ないと言える。

このように、ソフトウェア管理を徹底しようとした場合、従来の方法では工数が天井知らずに膨れ上がっていく可能性をはらむ。だからといって、誰がどのPCでどんなアプリケーションを使っているかすら把握できていなければ、とてもではないがアプリケーションの起動を一括して制御することなど不可能だ。そのため、実際的なソフトウェア管理を行うには、IT資産管理ツールが必須となる。

IT資産管理ツールは、社内のネットワークに接続されたすべての機器のインベントリ情報を自動的に収集し、資産情報として一元管理できるが、PCにインストールされているアプリケーションについても、インベントリの収集が自動で行えるようになっている。通常、インベントリは日々更新されるため、勝手にインストールされたアプリケーションがあれば速やかに発見することが可能だ。そしてアプリケーションの制御機能によって、あらかじめ設定したアプリケーションは起動させないようにできるのである。こうした資産管理ツールの中には、クオリティソフト社の「QND Advance」のように、76000種以上を網羅した独自の「ソフトウェア辞書」を用いて、製品名、バージョン、エディション等、PCにインストールされた多種多様なソフトウェア情報の名寄せを行い、カテゴリー分けを支援するものもある。

本質的な管理をサポートしてくれるツールを選ぶことが重要だ(図は「QND Advance」の、「ソフトウェア辞書」管理イメージ))

ただし、IT資産管理ツールを使って企業内のPCに存在するソフトウェアのインベントリが収集できたとしても、どのアプリケーションが危険なのかをいちいち判断して使用禁止の設定をするとなると、それなりの知識と工数が必要になる。また、管理者が危険なアプリケーションだと見抜けずに使用を許可してしまう恐れもある。そうした管理者の時間と知識を補うものとしては、先述の「QND Advance」が備える「グレイネットアプリケーション起動制御用アプリケーションDB」がある。これは、グレイネットアプリケーション(=情報流出のおそれがあるアプリケーション)をリストアップした辞書ファイルの中から、管理者が許可しないアプリケーションをまとめて指定することで、簡単に危険なアプリケーションの利用を禁止することができるものだ。辞書ファイルにはアプリケーションの種類とバージョンを含めて3000件を超える情報が収められており、クオリティソフト社により定期的に更新・提供がなされるため、常にプロの知見と最新の情報に基づいたアプリケーションコントロールが可能となる。

また、同じアプリケーションであっても、社員によって、または部門によって使用可否を使い分ける運用も想定される。そのような際には、端末1台ごともしくは端末グループごとにアプリケーションの起動を制御できるIT資産管理ツールを選ぶようにしたい。

今回は、ソフトウェア管理全般について、またその中でもアプリケーションの種類の管理と制御について紹介した。次回は、ソフトウェア管理における脆弱性の管理について詳しく解説する予定だ。

社内外の端末を一元管理できる
「フルスペック・クライアント管理製品QND」

社内外に存在するPCからスマートデバイスまで、企業の保有するクライアント端末を一元管理するツールです。資産管理機能に加え、外部メディア制御やクライアント操作ログ、不正PC検知、URL Filteringで実現する標的型攻撃の出口対策など、多様なセキュリティ統制も備えています。
さらには、正確なソフトウェアライセンス管理によるコンプライアンス遵守など、安全なクライアント管理に必要とされる機能を標準搭載しています。

⇒詳しくはこちらから

⇒IT資産管理の導入事例はこちら

[PR]

[PR]提供:クオリティソフト