エンドポイントのセキュリティ設定ばらつきを解消し全端末のポリシー準拠を維持する方法
社内PCやスマートフォンなど、業務で使う端末のセキュリティ設定が端末ごとにバラバラになっている。この問題は、リモートワークの定着やBYOD(個人端末の業務利用)の広がりによって、ここ数年で急速に深刻化しています。新しく配布した端末、以前から使っている端末、社員が持ち込んだ私物端末では、ウイルス対策ソフトのバージョン、OSのアップデート状況、VPN設定などがそれぞれ異なり、どの端末がどの状態なのかを正確に把握できていない企業が大半です。設定が甘い端末が1台でもあれば、そこが攻撃の入口になり、社内ネットワーク全体に被害が広がるリスクがあります。
この記事は、従業員50〜500名規模の企業で、情報システム部門の担当者やIT管理を兼務している総務・管理部門の方を想定しています。読み終えると、端末の資産情報とセキュリティ設定の現状を自動で収集し、ポリシーに違反している端末を検知して是正するまでの一連の運用フローを構築できるようになります。大規模エンタープライズ向けのゼロトラストアーキテクチャの全社設計や、個別セキュリティ製品の詳細レビューは扱いません。
なお、本記事で紹介するツールの組み合わせは代表的な一例です。同じ役割を果たす別の製品でも、同様のワークフローを構築できます。
読み終えた時点で、全端末のセキュリティ設定状況を週次で可視化し、違反端末を検知してから是正完了までを追跡できる運用サイクルの設計図が手に入ります。
Workflow at a glance: エンドポイントのセキュリティ設定ばらつきを解消し全端末のポリシー準拠を維持する方法
- Step 1: 全端末のセキュリティ設定状況を自動収集する (LANSCOPE エンドポイントマネージャー クラウド版) (IT資産管理ツール)
- Step 2: ポリシー違反端末を検知しレポートを生成する (LANSCOPE エンドポイントマネージャー クラウド版) (IT資産管理ツール)
- Step 3: 違反端末の利用者に是正依頼を発行し完了まで追跡する (ジョブカンワークフロー) (ワークフローシステム)
なぜエンドポイントのセキュリティ設定は端末ごとにばらつくのか
管理台帳と実態が同期されていない
多くの企業では、端末の管理にExcelやスプレッドシートを使っています。端末を配布したときに台帳に記入し、その後は更新されないまま放置されるケースが非常に多いです。実際の端末では、社員がOSのアップデートを後回しにしたり、ウイルス対策ソフトの定義ファイルが古いまま放置されたりしますが、台帳にはその変化が反映されません。台帳上は問題なしでも、実態は危険な状態という乖離が日常的に発生します。
端末の種類と配布時期でポリシーが分断される
会社支給のWindows PC、macOS端末、BYOD端末、リモートワーク用に急遽配布したノートPCなど、端末の種類や配布のタイミングによって、適用されたセキュリティポリシーが異なります。2年前に配布した端末と先月配布した端末では、初期設定の内容が違うことも珍しくありません。さらに、ポリシーを変更しても過去の端末に遡って適用する仕組みがなければ、時間が経つほどばらつきは拡大します。
違反を検知しても是正が追跡されない
仮にセキュリティ設定の違反を発見できたとしても、誰がいつまでに対応するのかが曖昧なまま放置されがちです。メールやチャットで個別に連絡しても、対応したかどうかの確認に手間がかかり、結局うやむやになります。検知から是正までの流れが仕組み化されていないことが、ばらつきを固定化させる最大の原因です。
重要な考え方:端末の実態を自動で収集し、ポリシー違反を検知したら是正完了まで追跡する
セキュリティ設定のばらつきを解消するために最も大切なのは、人の記憶や手作業に頼らない仕組みを作ることです。具体的には、3つの機能を連携させます。
実態の自動収集が出発点
端末にインストールされたソフトウェアのバージョン、OSのパッチ適用状況、暗号化の有無、ウイルス対策ソフトの稼働状況などを、エージェント(端末に常駐する小さなプログラム)が自動で収集し、常に最新の状態を一覧できるようにします。手作業の棚卸しでは月1回が限界ですが、自動収集なら毎日でも実行できます。
ポリシーとの突合で違反を即座に検知する
収集した実態データを、あらかじめ定義したセキュリティポリシー(例:OSパッチは公開後14日以内に適用、ウイルス対策の定義ファイルは3日以内に更新)と自動で照合します。ポリシーに合致しない端末を即座にリストアップできれば、問題の発見が遅れることはありません。
是正を依頼し完了まで追跡する
違反が見つかった端末の利用者に対して、対応依頼を自動で発行し、期限までに是正されたかどうかを追跡します。対応が完了しなければエスカレーション(上位者への報告)が自動で行われる仕組みにすることで、放置を防ぎます。
週次で回すエンドポイント準拠サイクルの実践ワークフロー
このワークフローは週次サイクルで運用します。IT管理担当者が毎週月曜日に30分程度で状況を確認し、違反端末への対応を回すイメージです。
ステップ 1:全端末のセキュリティ設定状況を自動収集する(LANSCOPE エンドポイントマネージャー クラウド版)
LANSCOPE エンドポイントマネージャー クラウド版のエージェントを全端末にインストールします。エージェントは端末のOS情報、インストール済みソフトウェアとそのバージョン、WindowsUpdateの適用状況、ディスク暗号化の有無、ウイルス対策ソフトの稼働状態などを自動で収集し、クラウド上の管理コンソールに集約します。
運用上のポイントは、BYOD端末にもエージェントを導入することです。BYOD端末は管理が最も手薄になりやすいため、利用規程にエージェント導入を必須条件として明記し、導入しない端末は社内ネットワークへの接続を許可しないルールにします。エージェントの導入率が100%でなければ、このワークフロー全体の前提が崩れるため、最初の1〜2週間はエージェント未導入端末の洗い出しに集中してください。
収集データは日次で更新されるため、週次の確認タイミングでは常に直近のデータが揃っている状態になります。
ステップ 2:ポリシー違反端末を検知しレポートを生成する(LANSCOPE エンドポイントマネージャー クラウド版)
LANSCOPE エンドポイントマネージャー クラウド版の管理コンソールで、セキュリティポリシーのルールを設定します。具体的には以下のような条件です。
- WindowsUpdateが公開後14日以上未適用
- ウイルス対策ソフトの定義ファイルが7日以上未更新
- ディスク暗号化が無効
- 許可されていないソフトウェアがインストールされている
これらの条件に該当する端末を自動で抽出し、違反端末一覧レポートをCSV形式でエクスポートします。毎週月曜日の朝にIT管理担当者がこのレポートを確認し、違反の件数と内容を把握します。違反が0件であればそのまま完了、違反があればステップ3に進みます。
レポートには端末名、利用者名、違反項目、最終確認日時が含まれるため、誰のどの端末に何の問題があるかが一目でわかります。
ステップ 3:違反端末の利用者に是正依頼を発行し完了まで追跡する(ジョブカンワークフロー)
ステップ2で検出された違反端末について、ジョブカンワークフローで是正依頼を発行します。IT管理担当者がCSVレポートの内容をもとに、違反端末の利用者を申請先として是正依頼フォームを起票します。
是正依頼フォームには、端末名、違反項目、対応内容(例:WindowsUpdateを実行してください)、対応期限(起票から3営業日以内)を記載します。利用者は対応完了後、ジョブカンワークフロー上で完了報告を行い、IT管理担当者が承認します。
期限を過ぎても完了報告がない場合は、ジョブカンワークフローの自動リマインド機能で利用者に通知が届きます。さらに2営業日経過しても未対応の場合は、利用者の上長にエスカレーション通知が送られるよう、承認ルートを設定しておきます。
週次サイクルの中で、前週の未完了案件の状況確認も同時に行います。是正が完了した端末は、翌週のステップ1で自動収集されるデータに反映されるため、対応が本当に実施されたかどうかをデータで裏付けることができます。
この組み合わせが機能する理由
LANSCOPE エンドポイントマネージャー クラウド版:実態データの自動収集と違反検知を1つのツールで完結できる
LANSCOPE エンドポイントマネージャー クラウド版を選定した最大の理由は、IT資産管理とセキュリティポリシーの準拠チェックを1つの製品でカバーできる点です。資産管理ツールとセキュリティ監査ツールを別々に導入すると、データの突合作業が発生し、運用負荷が跳ね上がります。この製品はエージェントが収集した情報をそのままポリシー違反の判定に使えるため、データの二重管理が不要です。
クラウド版であるため、オンプレミスのサーバー構築が不要で、リモートワーク中の端末もインターネット経由で管理できます。一方で、エージェントのインストールが必須であるため、完全なエージェントレス管理はできません。また、macOSやiOS端末への対応範囲はWindows端末と比べて一部制限があるため、macOS端末が多い環境では事前に対応範囲を確認してください。
日本国内での導入実績が豊富で、日本語のサポートやドキュメントが充実している点も、情シス担当者が少ない中小企業にとっては重要な選定理由です。
ジョブカンワークフロー:是正依頼の発行から完了追跡までを仕組み化できる
セキュリティ違反の検知だけでは問題は解決しません。検知した後に、誰が・いつまでに・何を対応するかを明確にし、完了まで追跡する仕組みが必要です。ジョブカンワークフローは、申請・承認・リマインド・エスカレーションという一連の流れをノーコードで構築できるため、IT管理担当者が自分で運用フローを設計できます。
メールやチャットで個別に連絡する方法と比較した場合の最大の利点は、対応状況が一覧で可視化される点です。今週何件の違反があり、何件が是正済みで、何件が未対応かが常に把握できます。この数字を月次で集計すれば、経営層へのセキュリティ報告資料としても活用できます。
トレードオフとして、ジョブカンワークフローとLANSCOPE エンドポイントマネージャー クラウド版の間にAPI連携による完全自動化の仕組みはないため、違反端末の情報をもとにIT管理担当者が手動で是正依頼を起票する作業が発生します。週次で違反端末が10台以下であれば10分程度の作業ですが、数十台規模になる場合は初期の集中対応期間として割り切り、違反件数が減ってから週次運用に移行することをおすすめします。
Recommended tool list
| Tool | Role | Pricing | Implementation time | Notes |
|---|---|---|---|---|
| LANSCOPE エンドポイントマネージャー クラウド版 | IT資産管理およびエンドポイントのセキュリティポリシー準拠チェック | 月額課金 | 1〜2週間(エージェント展開含む) | 全端末へのエージェント導入が前提。BYOD端末を含め導入率100%を目指す。macOS端末の対応範囲は事前に確認が必要。無料トライアルあり。 |
| ジョブカンワークフロー | セキュリティ違反の是正依頼発行・承認・リマインド・エスカレーション | 月額課金 | 3〜5営業日(フォーム設計・承認ルート設定) | 是正依頼フォームと承認ルートをノーコードで構築可能。LANSCOPE エンドポイントマネージャー クラウド版との直接API連携はないため、違反情報の転記は手動。違反件数が少なければ運用負荷は軽微。 |
結論:自動収集と是正追跡の仕組みを作れば端末のセキュリティばらつきは解消できる
エンドポイントのセキュリティ設定がばらつく根本原因は、端末の実態を把握する仕組みと、違反を是正する仕組みが分断されていることです。LANSCOPE エンドポイントマネージャー クラウド版で全端末の設定状況を自動収集し、ポリシー違反を検知する。ジョブカンワークフローで是正依頼を発行し、完了まで追跡する。この2つを週次サイクルで回すことで、どの端末がどの状態かわからないという問題を構造的に解消できます。
最初の一歩として、まずLANSCOPE エンドポイントマネージャー クラウド版の無料トライアルを申し込み、管理対象端末10台程度にエージェントを導入して、現状のセキュリティ設定状況を可視化するところから始めてください。実態が見えれば、どのポリシーを優先すべきかが自然と明らかになります。
Mentioned apps: LANSCOPE エンドポイントマネージャー クラウド版, ジョブカンワークフロー
Related categories: IT資産管理ツール, ワークフローシステム
Related stack guides: 輸出管理教育の受講完了と実務権限を自動連動させ未受講者による誤申請を防ぐ方法, 該非判定の根拠資料が散逸して再現できない問題を解消し監査対応を万全にする方法, 補助金の変更申請と実績報告の整合性を保ち事後監査での指摘と返還リスクを防ぐ方法, パートナーへの変更依頼が社内承認後に正しく伝わらない問題を解消し手戻りとプロジェクト遅延を防ぐ方法, 付議基準の属人判断による上程漏れをなくし取締役会のガバナンスと議論の質を守る方法
サービスカテゴリ
AI・エージェント
ソフトウェア(Saas)
