証券会社X社 「デスクトップ仮想環境」を導入。・・・のはずが、まさかのウイルス感染！？

課題

業務効率化とセキュリティ向上を期して「デスクトップ仮想環境」を導入。
・・・のはずが、まさかのウイルス感染！？

株式や投資信託、先物系取引などを手掛ける中堅証券会社X社。同社ではその業種柄、従来のノートPCに加えて、スマートフォン／タブレットPCの導入や在宅勤務など、モバイルワークを中心とした先進的なワークスタイルへの取り組みを積極的に行っています。

それゆえ、従来からISMS（情報セキュリティマネジメントシステム）に準拠した情報セキュリティ管理には力を注いでおり、各種対策ツールの導入はもちろん、詳細な社外持ち出しルールを定めて各端末を管理してきました。しかし、モバイル端末を運用する以上、例えば紛失などによる“情報漏えいリスク”を100%払拭することはできません。そこで同社は検討の末、ワークスタイルの多様化に即したセキュリティ強化を目的に、「デスクトップ仮想環境」の導入を決定しました。同社情報システム管理部担当課長のW氏はこう語ります。

「デスクトップ環境をサーバ側に集約することで、クライアント端末には一切のデータが残らないため、万が一PCを紛失しても確実に情報漏えいを防ぐことが可能になります。また、セキュリティソフトの定義ファイルやパッチ更新なども“従業員任せ”にならずに一括適用できますし、従業員にとっては社外からでも社内LANにアクセスしてスムーズに業務を行えるので、管理者・従業員の双方にとって一石三鳥だと感じました」

PC仮想化プロジェクトを立ち上げた同社は、まず営業部門が利用する端末のデスクトップ環境を仮想サーバへ移行し、導入作業は順調に完了したかと思われました。ところが、その後ほどなくして、社内LANにウイルスが蔓延する事態が発生してしまったのです。

「管理対象は、仮想環境だけじゃなかった！？」ユーザー任せの“物理環境”が死角に・・・

調査の結果、原因はある1台のPCにおいて「“物理環境”のセキュリティアップデートが漏れており、インターネットアクセス時に感染。その後、社内LAN接続時にウイルスが蔓延した」ことが明らかになりました。

「盲点でした。デスクトップ仮想環境化を施したPCは、専用端末ではなく従来のファットクライアントを使用していたので、“物理環境”にWindows OSおよびIEだけはインストールされたままになっていました。ユーザーが仮想マシン上にある自分のデスクトップ環境を呼び出すには、VPN接続した上でID/PWを入力する必要があるので、インターネットを使用するだけならVPN接続せずに、物理環境から直アクセスした方が楽だったのです」（前出W氏）

仮想マシン上に集約されたデスクトップは、W氏をはじめとした情報システム部門によって、確かに最新の定義ファイルや修正パッチが一括で適用されていましたが、感染リスクを確実に防ぐためには、すべてのPC／スマート端末における“物理・仮想”両環境のセキュリティ状態を管理しなければなりません。しかし、“物理環境”における定義ファイル更新やパッチ適用などは、従来どおり“ユーザー任せ”にならざるを得ず、そこにセキュリティホールが存在していたのです。

「我々が、数百台にもおよぶクライアント端末の物理環境におけるセキュリティ状態を把握し、脆弱性のある端末に対策を施すことは、マンパワーを考慮すると現実的に不可能でした」（前出W氏）