あなたが使用している PCが Windows 10 の場合 [スタート]-[設定]-[アカウント]を選択してみてください。
「ユーザーの情報」という画面が表示されたと思います。
そこに「管理者」と表示されていませんか?
もし表示されている場合、そのPCの「 管理者 (Administrator) 」としてPCを使用しています。
「管理者」アカウントは、アプリケーションのインストール、ファイアウォールの設定変更などシステム設定に関わる全ての作業を自由に実施することができ、とても便利です。
しかし、「管理者」として操作することのリスクについてご存じでしょうか?
システム管理者の方は「リスクがあることはわかっている、しかしユーザーから管理者権限を取り上げると運用が回らない」というご意見もあるかと思います。
今回は管理者権限をユーザーに与えることのリスク、そして管理者権限をユーザーから取り上げた場合の運用への懸念と、その対応策の一つとして当社の取り組み紹介します。
まず、管理者権限で実行できることを確認します。
すぐに思いつく項目でも以下のようなものがあります。
| 項目 | 考えられるリスク |
|---|---|
| アプリケーションのインストール・アンインストール | ライセンス違反のアプリケーションをインストール 業務に不要なアプリケーションをインストール アプリケーションインストールによる、ウイルスやアドウエア/マルウエアなどの混入 |
| Windows Defender などのファイアウォール製品の設定や無効化 | 不正なアクセスを受ける ブラウザーなどからのウイルスやアドウエア/マルウエアの混入 |
| システムで使用しているファイルの削除や、イベント (ログ) の削除 | オペレーションミスなどによるOSの障害 不正アクセスの証拠隠滅 |
| 項目 | アプリケーションのインストール・アンインストール |
|---|---|
| 考えられるリスク | ライセンス違反のアプリケーションをインストール 業務に不要なアプリケーションをインストール アプリケーションインストールによる、ウイルスやアドウエア/マルウエアなどの混入 |
| 項目 | Windows Defender などのファイアウォール製品の設定や無効化 |
| 考えられるリスク | 不正なアクセスを受ける ブラウザーなどからのウイルスやアドウエア/マルウエアの混入 |
| 項目 | システムで使用しているファイルの削除や、イベント (ログ) の削除 |
| 考えられるリスク | オペレーションミスなどによるOSの障害 不正アクセスの証拠隠滅 |
このように管理者権限を使用してPCを操作しますと、ユーザーの操作ミスによるOSの障害、外部からの不正アクセスまでさまざまなリスクが発生します。
インターネットで「セキュリティー Windows 管理者権限」をキーワードに検索していただきますと、管理者権限をユーザーに与えないことで多くの脆弱 (ぜいじゃく) 性を回避できる、という記事やリポートが見つかります。
このように管理者権限をユーザーに与えることは多くのリスクが存在します、しかし、現実にはユーザーに管理者権限を与えている例は多くあります。
次に、なぜ管理者権限を与えないといけない状況になってしまうのかを考えてみます。
先にご紹介しましたようにユーザーに管理者権限を与えず、一般ユーザー権限などを用いて運用できることが理想です。
しかし実際にユーザーから管理権限を取り上げて運用することを考えた場合、アプリケーションのインストール・アンインストール という部分がネックになってしまう場合が多いのではないでしょうか。
これは、一般ユーザー権限では管理者権限が必要なアプリケーションをインストール・アンインストールすることができないためで、アプリケーションのインストールやアンインストールのたびに管理者権限を持つ管理者が個別に対応することになってしまいます。
このため、管理者の工数は増加し、PCの使用者もインストール中は業務ができなくなってしまうといった問題が発生します。
このような事情から「リスクがあることを認識していながら、実際問題としてはユーザーに管理者権限を与えざるを得ない」という運用を行っている事例も見られました。
当社では「 データレスPC™ 」としてユーザーデータをPC内に置かないようにする「 Flex Work Place Passage 」と管理者権限が必要なアプリケーションのインストールを一般ユーザー権限で実行できるようにする「 Flex Work Place AppSelf 」を提供しており、両者を組み合わせるとユーザーに管理者権限を与えなくても、利便性・安全性を保った環境を実現することが可能になります。
「 Flex Work Place Passage 」はPCにデータを保存しない「データレスPC」環境を提供します。
ユーザーが使うPCに専用アプリケーションを導入するだけで、ローカルHDDを不可視化・書き込み禁止にし、ユーザーデータをファイルサーバーへリダイレクトします。
ユーザーはリダイレクトされたファイルを自分のデスクトップ上にあるものと同様に使うことができます。
「 Flex Work Place AppSelf 」はユーザーに管理者権限を与えず、管理者が許可したアプリケーションのみをユーザー自身の操作によってインストールすることを可能にします。
管理者は必要なアプリケーションパッケージを作成しておけば良く、インストールしたいユーザーが自身で、作成済みのアプリケーションパッケージを実行するだけでアプリケーションインストーラーが起動します。
このように Passage + AppSelf を組み合わせて使用すると、ユーザーに管理者権限を与えることで発生するリスクを低減しながら、ユーザーの操作感や利便性も極力損なわない環境を実現しています。
| 課題 | 解決 |
|---|---|
| Windows Defender などのファイアウォール製品の設定や無効化 | 管理者権限を与えないことで、勝手に無効化・設定を変更することを防ぐ |
| システムで使用しているファイルの削除や、イベント (ログ) の削除 | Passage によりローカルディスクを不可視化することで、システムに関するファイルを勝手に触られることを防ぐ |
| アプリケーションのインストール・アンインストール | AppSelfを用いて、管理者が用意したアプリケーションのみをユーザー自身がインストールできるようになる |
| OSやアプリの脆弱 (ぜいじゃく) 性 | ユーザー権限を使用することで影響を緩和する |
| 課題 | Windows Defender などのファイアウォール製品の設定や無効化 |
|---|---|
| 解決 | 管理者権限を与えないことで、勝手に無効化・設定を変更することを防ぐ |
| 課題 | システムで使用しているファイルの削除や、イベント (ログ) の削除 |
| 解決 | Passage によりローカルディスクを不可視化することで、システムに関するファイルを勝手に触られることを防ぐ |
| 課題 | アプリケーションのインストール・アンインストール |
| 解決 | AppSelfを用いて、管理者が用意したアプリケーションのみをユーザー自身がインストールできるようになる |
| 課題 | OSやアプリの脆弱 (ぜいじゃく) 性 |
| 解決 | ユーザー権限を使用することで影響を緩和する |
このようにユーザーに管理者権限与えた環境は、利便性は高くなりますがさまざまなリスクが伴います。
しかし、そのまま管理者権限を取り上げてしまうとユーザーが実施する業務工数の増加や、操作性の低下などの弊害が発生してしまうことになります。
この課題に対し、当社では Passage / AppSelf を組み合わせることで、管理権限を与えることなくユーザーも今までの操作感を変えることなく使用できる環境を提供しています。
現在、ユーザーに管理者権限を与え運用している環境に不安を感じている場合には、当社までご相談いただけますと幸いです。
