【Windows Server 2008 実践評価ガイド】
NAPとForefront Client Securityが実現するセキュアなネットワーク

安全・堅ろうなITインフラはWindows Server 2008で！

（2008年03月14日）

前のページへ < ｜1｜2｜3｜4｜ > 次のページへ

画面4●　Windows Defenderと同様のインタフェースを持つForefront Client Securityのクライアント。スパイウェア対策機能を持つため、Windows Defenderは不要になる

【Enterprise Security】
企業のためのセキュリティ対策製品
Forefront Client Security

　マイクロソフトは、企業ネットワークにおけるクライアント／サーバOSのセキュリティ保護対策ソリューションとして「Forefront Client Security」をリリースした。「Forefront」は同社のセキュリティ製品ブランドであり、すでにExchange Server 2007用の「Forefront Security for Exchange Server」と、Office SharePoint Server 2007/Windows SharePoint Services用の「Forefront Security for SharePoint」がリリースされている。

　Forefront Client Securityは、Windowsクライアントを保護するための製品であり、ウイルス対策に加え、スパイウェア対策、Windowsのセキュリティの状態（ぜい弱な設定やパスワード、不要なサービス、未適用のセキュリティ更新プログラムなど）をカバーする包括的なセキュリティ対策製品となっている（画面4）。

画面5●　Forefront Client Securityは企業向けのウイルス対策製品。本体は管理サーバ側にあると言っても過言ではない

　Forefront Client Securityの特徴は、企業向けに最適化されたソリューションであるという点だ。デスクトップ向けのウイルス対策ソフトとは異なり、企業が求める中央からの集中管理と状態把握という機能に重点が置かれている（画面5）。

　また、マイクロソフト製であるため、プラットフォームとして既存の製品やテクノロジーを利用しており、機能や役割が重複しないのでむだがない（図2）。

　例えば、Forefront Client Securityの検索エンジンの更新やウイルス定義の配布は「Windows Server Update Services（WSUS）2.0/3.0」が担当する。外出時など社内のWSUSサーバが利用できないときのために、Microsoft Updateを利用した更新も可能だ。

　ウイルスやスパイウェアが検出された際は、使用中のユーザーに警告すると同時に「Microsoft Operations Manager（MOM）2005」の警告アラートを生成する。これにより、MOM 2005によるサーバ監視と一体となったリアルタイムのインシデント管理が可能となる。

図2●　Forefront Client Securityの動作イメージ。エンジンや定義の配信にはWSUS 2.0（または3.0）を、インシデントの監視にはMOM 2005を使用する。管理サーバ、コレクションサーバ、レポートサーバ、配布サーバはシングルサーバで構成することが可能

【Policy Control】
グループポリシーによるポリシー強制と
レポートによる状態把握が可能

画面6●　ポリシーとして配布されたエージェントの構成をユーザーは上書きすることができない（一部の構成については、上書きを許可することも可能）

　Forefront Client Securityの動作は、管理サーバ側でポリシーとして設定・配布できる。ポリシーとして配布された構成は、ユーザーが変更できないように強制することも可能だ（画面6）。

また、ポリシーの配布には、グループポリシーのインフラストラクチャを利用する。具体的には、定義したポリシーを、GPOを指定して展開するだけで完了する。ドメインに参加していないクライアントなど、グループポリシーの範囲外にあるクライアントを構成するオプションとして、レジストリファイル（.reg）によるポリシーの展開にも対応している。

　ポリシーの展開状況、エンジン・定義の更新状況、および検出状況は、Webベースの詳細なレポートで確認することが可能だ（画面7）。レポートの生成にはSQL Server 2005 Reporting Servicesを利用している。