セキュリティ対策のいらないPC

 2019.01.04  ラクまるブログ編集部

IT資産に対してのセキュリティ対策を考えてみると必要になること、検討することは山ほどあります。PCのセキュリティに100%安全な環境を作ることはありえませんが、より厳しい対策をすることで万が一何か起きた時、被害は最小限に抑えられます。

業務で普段利用する端末は、サイバー攻撃が複雑で巧妙になっていく中でインターネット接続し、常に情報漏えいの脅威にさらされています。またソフトウェアやOSのアップデートしないで放置しておくと、そこから攻撃をうけウィルスに感染することもあります。これらを社内の専任担当者が考え、セキュリティ対策の対応してくのは時間や手間がかかり間に合わないのが現状です。

ただ Google の提供する Chrome OS 搭載のパソコンであれば、対応しきれていなかったセキュリティ対策ができてしまうのです。

Chromebookの標準装備

Chrome OSを搭載した端末は海外問わず国内でも多くの機種が世に出ています。
Chrome OS 製品ラインアップ

Chrome OSは多層防御できることを前提に設計されており、複数のレイヤーセキュリティ機能を持ち鍛圧を保護しています。
Chromebookに標準搭載されているのが以下の機能です。

  1. OS自動アップデート
  2. サンドボックス環境での動作
  3. 確認付きブート
  4. 端末内データの暗号化
  5. ウィルスをインストールできない

OS自動アップデート

Chrome OS のアップデートは6週間に1度のメジャーアップデートと都度のセキュリティパッチを Google から適用されています。インターネットに繋がった Chrome 端末は Google のデータセンターに繋がり、自動的にOSを最新化します。OSをアップデートする際にすべてバックグラウンド上で行うのでユーザが操作することなく、気付くことなく常に最新の状態で最新の安全なバージョンで業務を行うことが可能です。Chrome OS が自動で更新してくれるので、漏れを防げます。

サンドボックス環境での動作

Chromebook で動作するWebページやアプリケーションはサンドボックスと呼ばれる環境で動作をします。サンドボックスはWebページやアプリケーションが一つずつ動作する環境で区切り、他のタブやアプリ等に影響を生じないようにする技術です。

仮にマルウェアに感染したページに誘導され、何かしらに感染したとしてもサンドボックス内に閉じ込められ、Webページ、アプリを終了すれば他環境に影響が生じることはありません。

確認付きブート

Chromebook は起動時に必ずセルフチェックを行います。何かしらの理由によりシステムが改ざん、破損している場合でも初期化された状態に自己修復をして起動されます。

端末内データの暗号化

Chromebook はセキュリティチップ(TPM)を標準で搭載しています。(端末内のデータをTPMを使って暗号化しデータを保存する領域とは別の場所に鍵を保管しておく技術です。)端末からHDDを抜き取って情報を抽出しようとしてもデータは暗号化されておりTPMチップを持っている端末からしか情報が確認できなくなります。

ウイルスをインストールできない

Chrome OSのそもそもの設計思想ですが、” Chrome ブラウザを起動する端末 ” なので、アプリのインストールはできない仕様となっています。(Chrome Web Store、Play Store 以外からはアプリインストールはできません。)ウィルスも情報流出や、何かしら悪意のあるプログラムなので、そもそもインストールできない端末な以上、害を与えることができません。

逆に言うとウィルス対策ソフトをインストールをするということもできませんので、端末に対してのセキュリティ対策は Google におまかせをする ということになります。前述の通り端末が100%安全な環境を作ることはできませんが、Google はセキュリティ対策への取り組みとしてChrome OS ハッキングプログラムを行っています。脆弱性やバグ・欠陥に対して常にアンテナを張り、常にアップデートを繰り返しています。

逆に言うとウィルス対策ソフトをインストールをするということもできませんので、端末に対してのセキュリティ対策は Google におまかせをする ということになります。前述の通り端末が100%安全な環境を作ることはできませんが、Google はセキュリティ対策への取り組みとしてChrome OS ハッキングプログラムを行っています。脆弱性やバグ・欠陥に対して常にアンテナを張り、常にアップデートを繰り返しています。

 Chrome Enterpriseでより安全に

Chromebook はセキュリティ対策が考えられた端末になっていますが、Chrome Enterprise を利用することでより情報漏えいのリスクや、導入する際の社内ポリシーに準拠した端末にすることが可能です。ポリシーの変更があった場合にもChrome Enterprise の設定変更のみで対応ができるので、端末を回収して設定変更をする等も不要です。

  1. パスワード、ログオフ時設定
  2. 各種制限設定
  3. ネットワーク、証明書搭載

Chromebookの認証

Chromebook にログインする際、ポリシーの設定が可能です。Chrome OS へのログイン時にはGoogle アカウントのIDとパスワード認証を行います。Google アカウントで認証になるので2要素認証として、ワンタイムパスワード、Yubikey等にも対応でき、なりすましや・不正ログインを防げます。また、シングルサインオン連携もでき、ポリシーの許した環境下でないとログインができない、利用ができない設定もすることが可能です。

また、端末へのログインを特定の Google アカウント、ドメインに制限し、ログイン可能な時間帯を設定しておくことで働き方の改善にも役立ちます。

各種制限設定

特定の業務のみを行わせたいパソコンとして設定する際に役立つ機能です。

  • 許可されたChrome Web Storeや、Android アプリのみを利用させる
  • ウェブサイトへの接続のホワイトリスト、ブラックリスト登録
  • ポップアップのブロック
  • スクリーンショット不可
  • USBメモリの書き込み・読み込み不可
  • アイドル時のログオフ時間の設定

  等々、300以上の項目でパソコンにポリシーを適用することができます。

ネットワーク、証明書搭載

  • Ethernetの設定
  • Wifi の設定
  • プロキシ経由設定
  • VPN、証明書の配布等

Chrome Enterprise 上で設定した情報をChromebookへ設定情報の配布ができます。
また、接続時の制限として以下の設定がGoogle アカウント・端末に対して制限が可能です。

  • Ethernet、Wifi、モバイルネットワーク、WiMAXの中で許可された方式のみで接続
  • 設定を行ったネットワークのみに接続

 Chromebook でセキュリティ対策を

今後のIT投資は、業務改善や働き方から考える必要があります。業務の利便性を高める分、

セキュリティ対策がおろそかにならないように考慮しながら、検討をしていく必要があります。セキュリティそのものが万が一に備えて検討をするため中々理解を得にくい風潮があります。クラウドサービスや、Webベースのシステムが当たり前になってきている時代ですから出来る限り今後の時流に乗ることを考えて頂き、本来ぐべきことを進めて頂くためにWebの世界を利用することを前提に設計されたセキュリティリスクの低い Chrome OS を検討してみてはいかがでしょうか。

新規CTA

RECOMMEND関連記事


RECENT POST「G Suite」の最新記事


この記事が気に入ったらいいねしよう!
よくわかるGSuite無料セミナー