That'z IT
技術解説

Tanium

企業のIT資産管理において、最も重要かつ困難な課題の一つが「アプリケーション管理」です。端末ごとに異なるインストール状況を把握し、それらすべてを常に適切な状態に保つことは、多くのIT管理者にとって頭の痛い問題となっています。

本コラムでは、Taniumのモジュール(Deploy、Enforce)を活用し、業務アプリだけでなくセキュリティソフトも含めた、戦略的なアプリケーション管理の手法について解説します。

アプリケーション管理における「あるべき姿」

アプリケーション管理のゴールは明確です。

  1. 必須アプリケーション(業務アプリおよびセキュリティソフト)がインストールされ、最新の状態であること
  2. 不要・危険なアプリケーションが排除され、利用できない状態であること

これを実現するためには、単にインストール状況を可視化するだけでは不十分です。必須アプリケーションの稼働確認、適切なタイミングでのアップデート、禁止アプリケーションの無効化やアンインストールなど、複合的な対策を継続的に行う必要があります。

戦略1:必須アプリの確実な配布と「Tanium Deploy」の活用

まず定義すべきは「何が必須か」です。これにはOfficeなどの業務ツールに加え、アンチウイルスやEDRエージェントなどのセキュリティソフトも最優先で含まれます。これらを確実に全端末へ行き渡らせるために、Tanium Deployが力を発揮します。

パッケージギャラリーとソフトウェアバンドル

Tanium Deployの「Predefined Package Gallery(定義済みパッケージギャラリー)」には、主要なブラウザやWeb会議ツールに加え、各種ユーティリティがあらかじめテンプレートとして用意されています。管理者はこれらをインポートするだけで、即座に配布可能な状態にできます。

また、「ソフトウェアバンドル」機能を使えば、業務アプリとセキュリティエージェントをセットにし、インストール順序を指定して一括展開することも可能です。

特権IDの剥奪とセルフサービス

セキュリティリスク低減のため、エンドユーザーから管理者権限(特権ID)を剥奪するケースが増えています。しかし、これではユーザーが必要なアプリを自分で追加できなくなります。

そこで有効なのがTanium Deployの「Self Service Client」です。管理者が許可したアプリケーションリスト(カタログ)をユーザーに提供し、ユーザーは管理者権限なしで、リストから必要なアプリを選択してインストールできます。これにより、ガバナンスと利便性の両立が実現します。

戦略2:「Tanium Enforce」による厳格な実行制御とセキュリティ設定

許可されていないアプリケーションの利用制御や、OS標準のセキュリティ機能の管理にはTanium Enforceが有効です。

AppLockerによる実行制御

Tanium Enforceを使用すると、Windows標準の「AppLocker」ポリシーを一元管理できます。

  • 発行元(Publisher): 特定ベンダーの署名があるアプリのみ許可
  • パス(Path): 特定フォルダ配下の実行のみ許可
  • ハッシュ(Hash): 特定のファイルハッシュ値に基づいて制御

これにより、「業務アプリ以外は起動させない」ホワイトリスト運用や、特定の危険なアプリを禁止するブラックリスト運用が可能です。

戦略3:緊急時の迅速な対処

特定のアプリケーションに深刻な脆弱性が発見された場合、猶予はありません。Tanium Deployのアンインストール機能を用いれば、管理者は対象アプリがインストールされている端末を即座に特定し、強制的に削除を実行できます。

また、Taniumのリアルタイム性を活かし、数万台規模であっても対処完了を数分で確認可能です。

まとめ:「管理」から「戦略」へ

アプリケーション管理は、単にソフトを配るだけの作業ではありません。

  1. Deployで配布と自動化: 業務アプリとセキュリティソフトを確実に配布し、アップデートを自動化する
  2. Enforceで実行制御: 不正なアプリの実行を阻止し、セキュリティ機能を強制する
  3. 緊急時はDeployで即座に削除: 脆弱なアプリを特定し、リスクを排除する

このようにTaniumの機能を組み合わせることで、セキュリティと利便性を両立させた「戦略的なアプリケーション管理」が実現できるのです。

← ニュース一覧に戻る