中小企業の セキュリティ対策と構築

中小企業の
セキュリティ対策と構築
第 11 回 パソコンのセキュリティを高める
米原 勉
順で行います。
１．はじめに
①｢Windows｣+｢R｣のキーを押し、｢ファイル名を
第 10 回では、
ソフトウェアの脆弱性情報を効率
指定して実行｣の画面を表示させます。
的に収集する方法と、Microsoft Windows Server
②｢名前｣のテキストボックスに’gpedit.msc’
Update Services を利用したセキュリティ更新プ
と入力し、｢OK｣をクリックします。
ログラムの配布方法をご紹介しました。
③図 1 の｢ローカルグループポリシーエディタ｣
多くの企業では、情報漏えいやウィルス感染な
画面が表示されます。
どのセキュリティ事件・事故を防止するために、
図１グループポリシーエディタ
パスワードの定期的な変更や USB メモリの使用制
限などのルールを設けています。
しかし、そのルールを利用者に徹底し、確実に
守らせることは、簡単なことではありません。
そこで今回は、グループポリシーという仕組み
を利用して、パソコンのセキュリティを強化する
方法についてご紹介します。
な お 、 操 作 方 法 の 説 明 は Windows Vista
Business エディションを使用して行います。
２．グループポリシーとは
グループポリシーとは、パソコンやユーザーに
２．２ グループポリシーの設定方法
設定したい項目を左側のツリーから選択し、右
ついての様々な設定をまとめて管理することがで
側の設定項目をダブルクリックすると、図 2 の画
きる仕組みです。Windwos2000 から導入され、後
面が表示されます。
プロパティの値を設定し、
｢OK｣
述する Active Directory(アクティブ・ディレク
ボタンをクリックすることにより設定されます。
トリー)で管理されたネットワーク環境で使用す
図 2 ポリシーの設定画面例
ることを前提に開発されました。しかし、そのよ
うなネットワーク環境のない小規模組織でも活用
し、効果を上げることができます。
グループポリシーの設定は、
図 1 の｢グループポ
リシーエディタ｣を使って行います。
２．１ グループポリシーエディタの起動方法
｢グループポリシーエディタ｣の起動は以下の手
1
6 ヶ月に 1 度変更することを定めている場合は、
３．グループポリシーの設定例
この設定を 180 日とすることで、6 ヶ月毎の変
次に、グループポリシーの具体的な設定方法を
更を強制することができます。
５つご紹介します。
(4) パスワードの履歴を記録する
以前使ったことがあるパスワードを再使用
３．１ パスワードの最低文字数を設定する
させない為に設定します。この値を”3”に設
不正アクセスや情報漏えいを防止するために、
定した場合、前回と前々回に利用したパスワー
パスワードを設定することは最低限のルールです。
ドは使用することができません。これにより古
パスワードの長さや有効期間、複雑さなどを規則
いパスワードが繰り返し使用されること防ぐ
で定めていると思いますが、実際の設定はユーザ
ことができます。
ー任せになっていることが多いと思います。
また、この設定を利用する場合は｢パスワー
グループポリシーでパスワード関連の設定を行
ドの変更禁止期間｣も同時に設定しないと、パ
うことにより、パスワード利用に関するルールを
スワードの変更を繰り返すことにより、元のパ
ユーザーに強制することができます。
スワードに戻される恐れがあります。
(5)パスワードは複雑さの要件を満たす必要があ
図 1 のグループポリシーエディタの左側ツリー
る。
で、｢コンピュータの構成｣→｢Windows の設定｣→
この設定を有効にした場合、パスワードは次
｢セキュリティの設定｣→｢アカウントポリシー｣→
の最小要件を満たす必要があります。
｢パスワードのポリシー｣の順にクリックすると、
①ユーザーのアカウント名またはフルネー
図 3 のようにパスワード関連の設定項目が表示さ
ムに含まれる 3 文字以上連続する文字列を
れます。
使用しない。
②長さは 6 文字以上にする。
図 3 パスワード関連の設定項目
③次の文字種のうち 3 種類の文字を含める。
・英大文字 (A ～ Z)
・英小文字 (a ～ z)
・10 進数の数字 (0 ～ 9)
・アルファベット以外の文字
(!、$、#、% など)
パスワードを変更する際に、設定内容に違反し
たパスワードを設定しようとすると、図４の画面
が表示され、変更することができません。
パスワード関連の設定項目とその内容は以下の
図 4 パスワード変更時の警告
通りとなります。
(1) パスワードの長さ
パスワードの最低文字列数を設定すること
により、設定された文字数未満のパスワードを
設定することができなくなります。
(2) パスワードの変更禁止期間
３．２ スクリーンセーバーの設定
現在のパスワードを変更することができな
い期間を設定します。
離席時に、覗き見の防止や他人にパソコンを利
(3) パスワードの有効期間
用されないようパスワード付きのスクリーンセー
パスワードの有効期間を設定します。規則で、
バーを設定するように規則で定めている場合が多
2
いと思います。グループポリシーでもスクリーン
これらの危険なソフトウェアの起動を制限するこ
セーバーの設定を行うことができます。
とができます。
図 1 のグループポリシーエディタの左側ツリー
図 1 のグループポリシーエディタの左側ツリー
で、｢ユーザーの構成｣→｢管理用テンプレート｣→
で、｢コンピュータの構成｣→｢Windows の設定｣→
｢コントロールパネル｣→｢画面｣の順にクリックし
｢セキュリティの設定｣→｢ソフトウェアの制限の
ます。
ポリシー｣の順にクリックします。
図 5 スクリーンセーバー関連のポリシー
禁止するソフトウェアの設定手順は以下の通り
です。
図 6 はメモ帳(notepad.exe)の実行を禁止す
る場合の例です。
(1)メニューから、｢操作｣→｢新しいソフトウェア
の制限のポリシー｣をクリックすると｢セキュリ
ティレベル｣と｢追加の規則｣が追加されます。
(2)｢追加の規則｣を右クリックし、｢新しいパスの
規則｣を選択すると、
図 6 の画面が表示されます。
(3)｢パス｣のテキストボックスに禁止したいプロ
グラムの実行ファイル名を入力し、
｢セキュリテ
ィレベル｣で｢許可しない｣を選択します。
スクリーンセーバーの設定項目(図 5)とその内
例えば、Winny の実行を禁止したい場合は、
容は以下の通りとなります。
winny.exe と入力します。
(1) スクリーンセーバーを使用する。
図 6 禁止するソフトウェアの指定
この設定を有効にすることにより、スクリー
ンセーバーが実行されます。
(2) スクリーンセーバーの実行ファイル名
スクリーン セーバーのファイル名を拡張子
(.scr)を付けて指定します。
(3) スクリーンセーバーをパスワードで保護す
る。
スクリーンセーバーの状態から復帰するた
めにはパスワードの入力が必要になります。
(4) スクリーンセーバーのタイムアウト
パソコンを操作しない状態で、スクリーンセ
ーバーが起動されるまでの時間を指定します。
この設定を行った後、
メモ帳(notepad.exe)を実
以上の設定を行うことにより、コントロールパ
行すると、図７の警告メッセージが表示され、実
ネルではスクリーンセーバーの設定ができなくな
行することができません。
ります。このため、ユーザーよる勝手な設定変更
図 7 禁止ソフトウェア起動時の警告
を防止することができます。
３．３ 危険なアプリケーションの実行防止
Winny など、情報漏えいにつながる危険なソフ
トウェアは使用禁止にしている場合が多いと思い
ます。グループポリシーを設定することにより、
3
３．４ 取り外し可能な記憶媒体の使用制限
USB メモリのように持ち運びができる取り外し
可能な記憶媒体は、低価格化と大容量化が進み、
非常に便利になりました。その反面、手軽に個人
情報や機密情報をコピーして持ち出せる為、情報
漏えいの観点からは問題があります。
グループポリシーを設定することにより、これ
らの取り外し可能な記憶媒体の使用を禁止したり、
３．５ USB メモリ挿入時の自動実行を禁止する。
許可された記憶媒体のみを使用可能にしたりする
ことができます。
Windows には CD や DVD、USB メモリなどの外部
記憶媒体をコンピュータに挿入したり、認識した
図 1 のグループポリシーエディタの左側ツリー
ドライブをダブルクリックしたりした際に、格納
で、｢コンピュータの構成｣→｢管理用テンプレー
されているプログラムを実行する「自動実行
ト｣→｢システム｣→｢デバイスのインストール｣→
（Autorun:オートラン）
」という機能があります。
｢デバイスのインストールの制限｣の順にクリック
例えば、
音楽 CD をドライブに挿入するだけで再生
します。
が始まるなど、便利に利用されています。その半
図 8 デバイスのインストールの制限
面、この自動実行機能を悪用して感染を広げるウ
ィルスの被害が多くなってきています。
ウィルス対策ソフトの定義ファイルを常に最新
の状態に更新して、リアルタイムのウィルス検知
機能を有効にしておくことが必要です。
更に、このようなウィルスの感染を防ぐ為に自
動実行機能を無効化することも有効な対策となり
ます。
記憶媒体の使用を制限する設定項目(図 8)とそ
の内容は以下の通りとなります。
図 1 のグループポリシーエディタの左側ツリー
(1) 全ての記憶媒体を使用禁止にする場合、
｢リム
で、｢コンピュータの構成｣→｢管理用テンプレー
ーバブルデバイスのインストールを禁止する｣
ト｣→｢Windows コンポーネント｣→｢自動再生のポ
の設定を有効にします。
リシー｣の順にクリックします。
(2) 許可された記憶媒体のみを使用可能にする場
図 10 の画面で、｢自動再生機能をオフにする｣
合は、以下の２つの設定を行います。
の設定を有効にし、
「すべてのドライブ」を選択し
①｢ほかのポリシー設定で記述されていないデ
ます。
バイスのインストールを禁止する｣を有効に
図 10 自動再生機能をオフにする
します。
②｢これらのデバイス ID と一致するデバイスの
インストールを許可する｣の設定を有効にし、
使用を許可したい記憶媒体のデバイス ID を
一覧に追加します。
デバイス ID を確認するには、図 9 のようにデ
バイスマネージャのプロパティ画面の［詳細］タ
ブで確認することができます。
図 9 デバイス ID の確認画面
4
① 管理者が、適用する組織に対して、グループポ
４．Active Directory の利用
リシーを変更・作成します。これを「グループ
以上、ご紹介しましたグループポリシーの設定
ポリシーオブジェクト(以下 GPO)」と呼びます。
は、利用しているパソコン毎に行う必要がありま
図 12 では、情報システム部に適用する GPO を
す。パソコンが数台程度であれば一台ずつ手作業
作成しています。
で設定していくことも可能ですが、管理している
②コンピュータの動作に関連するポリシーはパソ
パソコンが数十台を超える規模になると、手作業
コン起動時に適用されます。
で設定するには時間的に難しくなります。
③ ユーザーに関するポリシーはログイン時に適
そこで、各パソコンにポリシーを適用する作業
用されます。
を効率的に行う方法として、Active Directory(ア
図 12 グループポリシーオブジェクトの作成
クティブ・ディレクトリー)をご紹介します。
４．１ Active Directory とは
Active Directory とは社内ネットワーク上に存
在するパソコン、プリンタといったハードウェア
やユーザーの情報、アクセス権などを管理サーバ
ーで一元管理することにより、管理の効率化とセ
キュリティレベルの向上を図るための仕組みで
す。
この仕組みを利用することにより、対象のパソ
コンやユーザーに対して、グループポリシーの適
用を行うことができます。
Active Directory の詳細については、マイクロ
５．おわりに
ソフトのサイトに公開されていますので、下記
URL をご参照ください。
以上、パソコンのセキュリティを高める方法と
http://www.microsoft.com/japan/
して、グループポリシーをご紹介しました。今回
windowsserver2003/activedirectory/
は、5 種類の設定方法をご紹介しましたが、これ
４．２ グループポリシーを適用する流れ
以外にも監査ログの取得など多くの設定項目があ
ります。
Active Directory の管理サーバーがグループポ
Windows 標準の機能を利用し、適切な設定を行
リシーを適用する流れを図 11 に示します。
うことでセキュリティを強化することが可能とな
図 11 グループポリシーの適用
りますので、グループポリシーの活用を検討して
はいかがでしょうか。
次回は、インターネット上の新たな脅威ついて
ご紹介します。
筆者：米原 勉（よねはら つとむ）
情報セキュリティ研究会
ISMS 審査員補
[email protected]
5