日本・アジアで2万2,000台のPCにセキュリティパッチを確実に適用、働き方改革の基盤としても活用
導入背景
- ・日本・アジアの拠点に設置された2万2000台のPCを管理するソフトウェアのサポート切れに伴い、新たなソリューションの導入が必要になった
- ・Windows10の導入や働き方改革を進めていく上でセキュリティの強化が急務だった
- ・Windows10にWindows Updateのセキュリティパッチを適用させるだけでなく、アプリケーションソフトにもセキュリティパッチを当てることを検討
検討のポイント(選択の理由)
- ・独自のソフトウェア配信技術としてピアツーピアでクライアント間通信できるため、中継サーバが不要であった
- ・また細かな管理者権限管理機能を装備している点、詳細なPC操作ログの取得が可能な点などから導入決定に至った
移行作業の概要
3ヶ月間でシステムの設計と構築を行い、その後PCにエージェントを配布
- ・Windows7からWindows10への移行に合わせ順次、Windows10のセキュリティパッチを配布
導入効果
- ・OSやアプリケーションソフトにセキュリティパッチを適用させることができた
- ・マルウェアの検知から対象のPCを特定するまでの時間を大幅に削減できた
- ・詳細なPC操作ログを取得でき、分析ツールのデータとすることが可能になった
- ・セキュリティ強化の要望に応えられた
Ivanti の機能更新プログラム適用ステップ
- ・Windows10の機能更新/ 品質更新プログラムの適用の自動化
- ・適用除外ルール( 空き容量不足、特定機種など) を設定し、適用成功率を向上
- ・アプリを自動で更新
- ・生産性を落とさず、ユーザ主導でパッチの適用が可能
- ・Adobe/Java 等の 3rdパーティのパッチの適用
- ・最新セキュリティパッチを常に適用し、脅威からのリスクを軽減
Ivantiのソリューション導入により、PCの管理とOSやアプリケーションへのセキュリティパッチの適用が可能に。また分析ツールのデータとして利用できるPC操作ログも取得し、セキュリティを強化。
自動車ガラスやフロート板ガラスなどで世界ナンバーワンシェア※を誇るAGC様。日本・アジア、欧州、米州の3極体制をベースに30を超える国や地域でグローバルに事業を展開しています。
同社では従来、日本・アジアの拠点に設置された2万2000台のPCを管理するために「Microsoft System Center Configuration Manager 2007」(SCCM 2007)を利用してきましたが、サポート終了に伴い、新たなソリューションを導入する必要に迫られていました。最新バージョンのSCCMを導入することも考えられましたが、その場合、Microsoft以外のアプリケーションパッチの配布を検討しなければならない点とネットワークに掛かる負荷を分散させるために中継サーバを設置する必要がありました。
「日本国内だけであれば問題はないのですが、アジア各地にも中継サーバを設置するとなると現地スタッフなどとの調整が必要で、その分時間が掛かります。一方で、「Windows10」の導入や働き方改革を進めていく上でセキュリティを強化することが急務とされていたため、最新バージョンのSCCM導入を選択することは事実上不可能でした」。AGC情報システム部 OA・ネットワークグループ マネージャーの佐藤英明氏は当時をこう振り返ります。
また、「Windows7」搭載のPCにWindows Updateのセキュリティパッチを適用させる際、ファイルサーバやDVD-ROM経由による手動配布を実施していましたが、OSだけでなく、JavaアプリケーションやAdobe製品などのセキュリティパッチを効率的に適用させることを計画していました。そのため、システムによる自動配布が出来るソリューションを導入する必要もありました。
「セキュリティを強化するため、PC操作ログの管理も行えるようにすることも計画しました。マルウェアを検知する仕組み自体はありましたが、PC操作ログは取得していなかったため、サーバで取得しているログから確認する必要がありました。そのため、マルウェアを検知してから対象のPCを特定するまでに時間が掛かっていました」。
AGC情報システム部 OA・ネットワークグループ マネージャーの松崎靖氏はこう説明します。
※AGC社調べ/2017年度概算データ
2つの独自ソフトウェア配信技術で中継サーバが不要に
複数の企業のソリューションを比較検討した結果、採用したのがIvantiのソリューションでした。具体的には、エンドポイント管理ソフトウェア「Endpoint Manager」とセキュリティパッチ管理ソフトウェア「Patch for Endpoint Manager」、PC操作ログ管理ソフトウェア「Endpoint Security Audit」の3つです。
AGCがIvantiのソリューションを選択した理由の1つとして、「自己組織型マルチキャスト」と「ピアダウンロード」という2つの独自ソフトウェア配信技術を備えているため、中継サーバが不要なことが挙げられます。
自己組織型マルチキャストはプッシュ配信時に利用される技術で、Ivantiサーバから各セグメントの代表PCにデータをユニキャスト配信し、代表PCがほかのPCにデータをマルチキャスト配信します。WANを経由する通信はセグメントごとに1回のみのため、最低限のWANの通信でネットワーク帯域を圧迫せずに一斉配信ができます。
また、代表PCは毎回、サーバと通信の良いPCが動的に選定されるため、拠点に特定の機器を用意する必要や特別な設定は必要ありません。
ピアダウンロードはプル配信時に利用される技術で、PCがセグメント内のほかのPCにデータを持っていないか確認し、応答があったPCからデータをダウンロードします。
応答がなければ最初の1台がIvantiサーバからデータをダウンロードし、PC同士でシェアする仕組みです。なお、Windows10にWindows Updateのセキュリティパッチを適用させる場合もソフトウェア配信と同じ仕組みを利用して中継サーバなしで行うことが可能です。
細かな管理者権限移譲管理機能を備えていることもIvantiのソリューションを選択した理由の1つでした。Active Directory連携機能を備えているため、Active Directoryアカウントやセキュリティグループごとに管理者権限を委譲できます。これにより、アジアの拠点内のPCを管理する権限を現地の管理者に委ねることが可能になります。
PC操作に関する詳細なログを取得できることも選択のポイントとなりました。取得したログを分析ツール用のデータとして生かせるためです。
守りの作業はIvanti製品に任せて情シス部員は攻めの業務に注力
Ivantiのソリューションの導入によって、PCを管理するだけではなく、OSやアプリケーションソフトにセキュリティパッチを適用させられるようになったのと、マルウェアの検知から対象のPCを特定するまでの時間を大幅に削減することができました。
「以前は、マルウェア検知から対象PCの特定までに数日から十数日掛かっていましたが、現在はその日のうちにPCを特定できるようになったので飛躍的な進歩ですね」(松崎氏)。
さらに、詳細なPC操作ログを取得でき、分析ツールのデータとすることも可能になりました。こうして、Windows10の導入や働き方改革を進めていくために求められていたセキュリティ強化の要望に応えることができたのです。
「自動化できる守りの作業はIvantiのソリューションに任せて、私たち情報システム部 OA・ネットワークグループのメンバーは、攻めの業務に注力していきたいですね」と佐藤氏は、Ivantiの活用により攻めの業務へシフトすることに対する期待を述べています。
導入製品
Ivanti Endpoint Manager
Ivanti Patch for Endpoint Manager
Ivanti Data Analytics
Ivanti Endpoint Security Audit(操作ログオプション)
お話いただいた方
AGC株式会社
情報システム部
OA・ネットワークグループ
マネージャー
松崎 靖 氏
AGC株式会社
情報システム部
OA・ネットワークグループ
マネージャー
佐藤 英明 氏