セキュリティソフトウェアについて

弊社では、正規の社員以外に外部要員・派遣社員が非常に多く、その出入りが激しく十分な管理ができていない状態です。その為、ウィルスの感染やデータの損失などが度々あり困っています。
そこで、セキュリティに関して下記の要件を満たすようなソフトウェアは無いでしょうか？
　１．ウィルス対策
　２．インターネットへのアクセス制限（フィルタリング）を行う
　３．ファイルサーバーへのアクセスログや、ＰＣの操作履歴を残すようなソフト
これら個別のソフトはあるかと思いますが、一つあるいは安価で済ませられるようなソフトウェアは無いでしょうか？

Enterpriseといったサーバー一元管理までは考えていません。主旨は不正利用といったセキュリティ強化もありますが、それ以上に”けん制”効果を狙っています。

また、同様の悩みをお持ちの方も多いと思いますが、どのように処置されているでしょうか？

ベストアンサー 回答No.1

こんばんは。

少しでも貴社が良い方向へ向かえる材料となるよう、問題点を率直に指摘させていただきますので、寛大な心でお付き合いください。

まず、「ネットワーク構成、規模、稼動サービス」「制限する内容や強度」などによって導入と”運用”が可能な対策が変わってくると思いますので、あくまで一般論としてのお話しかできません。」（従業員のインターネットアクセスの制限と一口に言っても、ケースは様々ですし、稼動しているOSやアプリケーションの内容によっても話がかわってきます。）

それを踏まえた大前提として、
↓
・予算もかけたくないし、一元管理が可能な体制や仕組みも作りたくない。

・「ソフトウェアの導入」という手段のみで解決（改善）を図りたい。
↓
お気持ちは理解できますが、これはどう考えても無理な相談だと思います。

まず、「～の仕組みやソフトウェアを導入すれば劇的な改善が望める。」という期待を捨てていただきたいということです。

有効なセキュリティー対策を施すためには、
↓
●自社のネットワーク構成をノードやサービス単位でしっかりと把握すること。

●「誰に・何を・どこまで」許すのかといった具体的な方針。

●それを実現し継続的に管理するための自社管理組織か業務委託の体制。
↓
つまり、「有効な計画」「マンパワー（人的資源）あるいはセキュリティー・ベンダーへの委託（予算）」というコストはどのみち必須となって来ると思います。

セキュリティー対策は保険（一時的な投資ですむもの）ではなく、「安全性という資産を生み出して、それを継続的に機能させる。」という側面が強いためです。

セキュリティー対策を目的としたソフトウェアは確かに有益なものですが、導入そのものよりも「継続的なメンテナンスと管理」といった運用面のレベルが効果を発揮できるか否かのポイントとなってきます。（もちろん、現状ではウィルス対策ソフトなど、無条件で必要となってくるソフトウェアがあるのも事実ですが、このあたりについては後述します。）

さて、「有効で継続的な管理体制」と口では簡単にいえますが、これが最も難しいことであるのも事実だと思います。（「それが出来ないから困ってるんだ！」という方も多いでしょう。）

現実的に考えた場合、自社での管理体制の構築が不可能ならば、計画段階から相談が可能なセキュリティー・ベンダーに相談するという選択肢が最も効果的だと思います。

もちろん、ベンダーの言いなりになって無駄なコストをかけるのは避ける必要があると思います。

しかし、こうした投資は例えばウィルス感染（と二次感染）による「復旧作業（後始末）の人件費と対策費」「業務停止（機会損失）」「社会的信用の失墜」、管理不足による「情報資産の流失」などの経済的「損失」防止に加え、サービスの安全性向上をアピールポイントと出来る「利益」を生む効果も期待でき、銭勘定の面でもお得になるというのが、現状から判断する私の個人的な意見です。

こうした経済的効果を前面に押し出した計画（企画）をつくり、予算をとって実行できるかどうかが担当者の腕の見せ所でもあると個人的には思います。

しかし、「そうは言うけど現実的には…。」という組織が多いのも事実だと思います。

ですので、今回のご質問の要望内容のうち、絶対に必要となるであろう対策を実現する方向性を考えて見ましょう。

まずは、「ウィルス対策」です。

これは「ネットワークに繋がっている（または繋がる可能性のある）ホスト全てにウィルス対策ソフトを導入し、適切にメンテナンスする。」ことに尽きると思います。

>>正規の社員以外に外部要員・派遣社員が非常に多く、その出入りが激しく十分な管理ができていない状態です。
↓
失礼な物言いかもしれませんが、これは言い訳に過ぎないと思います。

誰が使うかという事が問題なのではなく（もちろん、他のリスクを考えればこの点は関係してきますが）、そのコンピュータにウィルス対策が施されているかどうかが最も重要だと思います。

どんな状況であっても、この鉄則を踏むべきだと思いますし、そうすべきです。

「ホストレベルのウィルス対策」を施しながら、「インターネットやファイルサーバーへのアクセス制限とロギング」を一部実現するためには、「各ホストとサーバーへのパーソナル・ファイアーウォール」（Norton Internet Securityや同等製品)の導入が考えられると思います。

しかしながら、これらのソフトウェアは前述のように「継続的なメンテナンス」を実現してこそ、効果を発揮します。

具体的にはウィルス定義ファイルやセキュリティー更新などのアップデート作業などです。

これに加え、今日ではマイクロソフトから日々提供されるHot Fix（パッチ）の適用が大変重要ですので、クライアント単位でこれらの条件が揃うのは最低条件だといえるでしょう。

お話の環境では各従業員にこの作業を任せるのは現実的ではないと思いますので、やはりサーバー（マネージャ）を利用した集中管理（アプリケーションやファイルの強制配布）の仕組なくしては実現は難しいと思います。（ホストの台数が少なければ管理者が直接ホストを操作することも可能でしょうが、相当な負担のはずです。）

ただ、おっしゃるように従業員の出入りが激しい環境の場合、中途半端にPCに詳しい輩などが自前のノートPCを勝手にLANに接続するなど、予想外の事態がおきやすいですよね。

さらにこうまでウィルスが蔓延している現状では、上記のようなケースへの対策を含め、出張帰りや休暇明けの正社員のノートPCをLANに接続させる前にも強制的にアップデートと検疫作業を行う仕組みも重要になってきていると思います。（正社員、派遣社員関係なく、ホストに対して無条件に検疫が必要だということです。）

ところで、「従業員のワルサ防止」という観点からは、技術的対策よりもアナログ的な対策も有効です。

人事部長など幹部名の文書で、従業員に対し「最近従業員の勝手なネット利用が多いので、トラフィック監視を開始しており、問題ある通信の該当者は順次呼び出して調査する。」という通達を出すのです。（実際に監視する必要はないでしょう。）

なるべく”人事色”を出してヤバさを演出するのがミソで、これで確実に従業員による私的なトラフィックは減ります。

LANの集中管理に関しては、先日他の識者が紹介されていたソフトウェア（システム）に私も魅力を感じていますので、情報提供を感謝しつつ、下にベンダーのURLを貼り付けておきます。（深謝）

＜エムオーテックス株式会社　商品紹介ページ＞
↓
http://www.motex.co.jp/product/cat3/cat3.html

そのほかにも下記のようなサイトから、さまざまなベンダーや製品の情報にアクセス可能です。

＜ITmedia Enterprise セキュリティー関連情報＞
↓
http://www.itmedia.co.jp/enterprise/security/

特にインターネットは「性善説」をもとに発展してきたものなので、残念ながらセキュリティー的に見ると状況は日々悪くなる一方で、小手先の対策では対処しきれなくなってきているのが現実だと思います。

しつこいようですが、セキュリティー対策で非常に重要になってくるのは、「日々の管理と運用（教育）」という「人間に依存した部分」です。

これを実現するためにも有効な設計と計画が必要で、そのためにも一度プロに包括的な相談をされることをおすすめします。

長文の上、ご要望に対する直接回答が少ない内容になりましたが、何らかのヒントになれば幸いです。

無事お仕事がすすみますよう、お祈りしております。

それでは。