簡単!TaniumでリモートワークPCのセキュリティ管理
![Taniumは完全リモートでも管理可能!!どんな機能があるの?[テレワーク]](https://a-zs.net/wordpress/wp-content/uploads/3022/11/tanium05-eye_1.png)
リモートワークにはセキュリティリスクがつきまといます。しかしセキュリティ管理するための環境構築は非常に大変で、対策が取られていないことが多いです。
Taniumを使用すると、リモートワークで使用するPCに対しセキュリティ管理を行うことができます。しかも面倒な環境構築は不要です。
どのように環境を構築し、セキュリティ管理できるのかをご紹介します。
リモートワークのセキュリティリスク
リモートワークには以下のようなリスクがあります。
- 社外のネットワークで業務を行うリスク
- 個人のPCを使用するリスク
- 更新プログラムを適用しないリスク・適用してしまうリスク
リスクを回避するためには社外のネットワーク環境にあるPCを管理下に置く必要がありますが、そのための環境構築は非常に大変です。
社外のネットワークで業務を行うリスク
リモートワークでは社外のネットワークを利用します。
自宅のネットワークだけでなく、外出先でフリーWi-Fiを使用するなど(禁止している会社がほとんどだと思いますが)、信頼できないネットワークを使う可能性があります。
またリモートワークではリモートデスクトップを使う機会が多く、その脆弱性を狙ったランサムウェア被害も確認されています。
個人のPCを使って仕事をするリスク
会社支給のPCではなく個人所有のPCで業務を行う場合があります。BYODと呼ばれるものです。
業務とは関係がないサイトへのアクセスやアプリケーションの使用があるため、どうしてもセキュリティリスクが高くなります。
更新プログラムを適用しないリスク・適用してしまうリスク
更新プログラムを適用せず脆弱性を放置してしまうことでセキュリティリスクは高まります。
一方でIT部門の検証を待たずに更新プログラムを適用してしまい、業務アプリケーションやサービスが動かなくなるケースがあります。また、更新プログラムに不具合がありOSが正常に動かなくなることも少なくありません。
TaniumはリモートワークPCを管理するための環境構築が簡単
リモートワークのPCを管理するためには環境構築が必要で、通常はとても時間と手間がかかります。
例えばMECMの場合、「Azure AD」と「クラウド管理ゲートウェイ(CMG)」の環境を構築し、さらにドメインを作成してPCを参加させる必要があります。
Taniumではその必要はありません。
インターネット接続さえあれば、クライアントアプリケーションを配布、インストールするだけでリモートワークを行っているPCをすぐに管理下に置くことが可能です。
▼クライアント配布方法については以下の記事を参照してください。
Taniumはセキュリティ対策がすべてリモートで実施可能
Taniumのセキュリティ対策機能は全てリモートで実行可能です。
攻撃や侵害の発見が早いだけでなく、万が一攻撃を受けても被害範囲を特定し隔離できます。
社外のネットワーク回線や個人のPCを使用している場合でも安心です。
クライアントの状態をリアルタイムで確認可能
クエリ機能「Question」を使用すれば、管理下に置いているクライアントの状況をリアルタイムですぐに確認できます。
適用されている更新プログラムのバージョンや、インストールした日付、インストールしているアプリケーションなどの情報も確認可能です。
▼Questionについては以下の記事を参照してください。
未対応の脆弱性をQuestionで確認可能
Tanium Comply モジュールでは、脆弱性発見に特化した「Question」を使用することができ、まだ管理側で対応していない脆弱性やそれが発見された日付を検索することが可能です。
これを使用することで脆弱性を抱えているPCを特定し、更新プログラムを適用することができます。もちろん更新プログラムの適用はリモートで行うことができます。
脆弱性発見に特化したQuestion
- CVE Findings(未対応の脆弱性を検索)
- CVE Findings – Absolute First Found(脆弱性と最も最初に確認された日付)
- CVE Findings – First Found(脆弱性と最初に確認された日付)
- CVE Findings – Last Found(最近発見された脆弱性とその日付)
- Vulnerability CVE Search(任意の脆弱性を検索)
▼例えば「CVE Findings」を使うと未対応の脆弱性が一覧で表示されます。
▼Question機能の使い方は以下の記事を参照して下さい。
脅威の検知・調査・隔離(検疫)
「Threat Response」機能を使用すると、クライアントのアクティビティを常時チェックし、攻撃や侵入を検知するとアラートを通知することが可能です。また被害を受けたPCを隔離しそれ以上の侵害を防ぐことができます。
アラート通知をインテリジェンスでカスタマイズ
アラート通知する基準や定義は「インテリジェンス」で自由に定義することができます。
攻撃を受けたPCをすぐさま隔離
隔離すると、デフォルトでTanium Serverを除くすべての通信をブロックします。
また、許可するトラフィックの方向、許可するIPアドレス、ポート、プロトコルを定義するカスタムルールを設定できます。
他のTaniumモジュールと連携してさらにセキュリティを強化
Threat Responseは、以下のTaniumのモジュールと連携し、さらなるセキュリティの強化が見込めます。
【Tanium Connect】
Threat ResponseのデータをTanium外にエクスポートし、他のセキュリティサービス製品(Micro Focus ArcSight、IBM QRadar、LogRhythm、McAfee SIEM、Splunkなど)に情報を連携することができます。
【Tanium Enforce】
Threat Responseの過去のインシデント調査結果からエンドポイントのプロセスおよびネットワークルールポリシーを作成することで、Taniumネットワーク全体のインシデント発生防止機能の強化が可能です。
【Tanium Impact】
Tanium Impactはアクセス権限の依存関係を特定、優先順位を付けることで攻撃可能な範囲を予測し、対策を最小限にすることができます。
【Tanium Trends】
Threat Responseでの調査結果をグラフ型式で記録し続けることができます。
終わりに
今回はセキュリティ監視、資産管理ができるTaniumの機能を紹介しました。
TaniumはリモートワークPCを管理するための環境構築が簡単にできるだけでなく、リモートでセキュリティ管理が可能です。
リモートワークの管理ツールとして、ぜひ導入を考えてみてはいかがでしょうか。
