古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

「Windows 10」でデバイス管理が楽に、そして安くなる?

ITmedia エンタープライズ のロゴ ITmedia エンタープライズ 2016/11/30
「Windows 10」でデバイス管理が楽に、そして安くなる?: Windows 10では、クラウド環境での端末管理を強化しています © ITmedia エンタープライズ 提供 Windows 10では、クラウド環境での端末管理を強化しています

 こんにちは。日本マイクロソフトでWindows 10の技術営業を担当している山本築です。今回は、先日行われた技術者向けカンファレンス「Microsoft Tech Summit」のセッションから、Windows 10の最新情報をお届けします。

 Microsoft Tech Summitでは、私、山本もデバイス管理をテーマに登壇しました。近年はクラウドを通じてデバイスを管理する手法が広がりつつありますが、AndroidやiOSと同じように、Windows 10端末もMDM製品で管理できるようになってきているのです。

 日本ネットワークセキュリティ協会の調査によると、2015年の情報漏えい事件のうち、75%が人為的なミスによって起きています。一度でも標的型攻撃にやられてしまうと、会社の存続に関わるようなダメージを負ってしまうケースもありますが、その原因は、端末の置き忘れや、誤操作による機密情報の誤送信など「ささいなミス」であるのが現実です。

 昨今、企業のセキュリティ担当は、生産性向上を担保しながら、標的型攻撃の対策やデータ保護を行わねばならず、大した予算をかけられないケースも多いのです。そこで、Tech Summitのセッションでは低コストのクラウドを活用した、管理およびセキュリティ対策を実現する方法を紹介しました。

●Windows 10で変わる、社外からの「端末認証」

 従来、業務用Windows端末の管理といえば、オンプレミス環境でWSUS(Windows Server Update Services)やSCCM(System Center Configuration Manager)でパッチを配布し、Active Directoryを通じてグループポリシーを適用する方法が一般的でした。しかし、近年は端末を持ち出すニーズが増えてきており、持ち出し端末へのポリシー適用や、セキュリティ対策を行う必要性も出てきています。

 そのためにはまず、社外からの認証方法を確立させることが必要です。パスワードが漏れた際に、なりすましからのログインで情報を全て盗まれるかもしれない、アクセス端末を絞って運用したい――。そんな思いから、端末の持ち出しを禁止している企業も多いのではないでしょうか。

 こうした課題はマイクロソフトが提供しているクラウドベースのソリューション「Enterprise Mobility + Security」の中にある、「Intune」と「Azure ADP」で解決できます。

 Intuneの条件付きアクセス機能を使うことで、「コード整合性」「BitLocker有効化」「アンチウイルスソフト起動確認」「Secure Bootの有効化」という4つの条件をクリアしない限り、SharePointなどのアプリケーションにアクセスできないよう規制できるのです。

 さらにAzure ADPの多要素認証を活用することで、セキュリティレベルを高められます。ユーザー単位、アプリ単位で設定を変更してもOK。さらにIPレンジでも設定を切り替えられるため、社外のときだけ多要素認証をするよう設定することもできます。

●持ち出し端末にポリシーをどう適用する?

 認証の次は端末ポリシーの適用です。Intuneからセキュリティポリシーは配布できないと思われがちですが、BitLockerやWindows Defender ATPといったものに関しては、Intuneからも配布可能です(ただし、Credential GuardについてはGPOでの設定が必要)。

 また、Anniversary Updateで搭載された「Windows Information Protection(WIP)」により、データを企業用途と個人用途の領域に分離し、両者間のデータのやりとりを制限できます。企業領域のデータは自動で暗号化されますし、IPレンジでも暗号化の設定が可能です。

 社外に端末を持ち出したユーザーについても、Azure ADのアカウントで企業向けWindowsストアを使えますし、管理者が特定の部署に特定のアプリをWeb経由で配布する方法もあります。そして、Windows UpdateもIntuneのカスタムポリシーを使えば、社外にいてGPOが効かないユーザーでも制御が行えます。

●ログを活用してインシデント対策を行う「Log Analytics」

 さて、ここまでは端末や情報の管理に重点を置いた機能をお話ししてきましたが、ここからは、人的要因で起きるインシデントの対策に触れていこうと思います。

 マイクロソフトのクラウドベースのIT管理ソリューション「Operations Management Suite(OMS)」には、ログを活用してインシデント対応を行う「Log Analytics」という機能があります。インシデント対応のほかに、ログをクラウドに保管することで、オンプレミス内にあるログを攻撃者に消されないといったセキュリティ対策にもなるのです。

 Log Analyticsのダッシュボードでは、マルウェア対策の情報やパッチ管理、ネットワークのアクセスを可視化できます。ログの可視化によって、レポートを作成する必要が無くなり、今後の対策といった作業に時間を割くことができるようになるのです。

 そして、仮に持ち出した端末を紛失してしまったときは、Intuneのリモートワイプ機能が有効です。端末内の情報を全て消去し、工場出荷時の状態に戻すことができます。ユーザー単位やデバイス単位でワイプするよう設定できるので、ぜひ活用してみてください。

ITmedia エンタープライズの関連記事

image beaconimage beaconimage beacon