オープンソース

  1. サーバ構築のデージーネットTOP
  2. OSS情報
  3. 一押しOSS
  4. Snipe-IT〜資産管理のOSS〜
  5. なぜゼロトラストで端末管理が重要なのか?端末特定の仕組みと実践方法を解説

なぜゼロトラストで端末管理が重要なのか?端末特定の仕組みと実践方法を解説

ゼロトラストでは「すべてを信用しない」という前提のもと、アクセスのたびに検証を行います。
その際に重要となるのが「誰がアクセスしているか」だけでなく、「どの端末からアクセスしているか」を正確に把握することです。しかし実際の運用では、「ログにIPアドレスは残っているが端末が特定できない」「どの利用者の端末か分からない」といった課題が多く見られます。本記事では、ゼロトラストを実現するために必要な端末管理について、IPアドレス・MACアドレス・利用者情報をどのように紐付けるべきか、また脆弱性対策まで含めた実践的な構成を解説します。

目次

ゼロトラストにおける端末管理の重要性

ゼロトラストでは、アクセス制御の判断において以下の情報が重要になります。

  • 利用者(ID)
  • 端末
  • ネットワーク情報(IPアドレスなど)

従来のように「社内ネットワークだから安全」という考え方は通用せず、どの端末が、どの利用者によって使用されているかを常に把握する必要があります。

なぜIPアドレスだけでは端末を特定できないのか

ログ管理システム(Graylogなど)では、多くの場合以下の情報が記録されます。

  • IPアドレス
  • 通信内容
  • イベント情報

しかし、IPアドレスだけでは端末を特定することはできません。

特に企業ネットワークではDHCPによりIPアドレスが動的に割り当てられるため、同じ端末でも時間によってIPアドレスが変わることがあります。

そのため、以下のような課題が発生します。

  • 過去ログから端末を特定できない
  • 不審通信の発信元が分からない
  • 利用者の特定ができない

端末特定に必要な3つの情報(IP・MAC・利用者)

端末を特定するためには、次の3つの情報を紐付ける必要があります。

IPアドレス → MACアドレス(DHCPログ)

DHCPサーバのログを利用することで、

  • IPアドレス
  • MACアドレス
  • 割当時刻

の対応関係を把握できます。

MACアドレス → 端末(端末管理)

OCS Inventoryや、Snipe-IT/Snipe-IT Agentなどのツールを利用することで、

  • MACアドレス
  • 端末名
  • OSや構成情報

を紐付けることができます。

OCS Inventory NGの詳細情報はこちら

端末 → 利用者(資産管理)

Snipe-ITなどの資産管理ツールにより、

  • 端末
  • 利用者
  • 管理情報

を結び付けることができます。

Snipe-ITの詳細情報はこちら

Snipe-IT-Agentの詳細情報はこちら

まとめ

このように、

IP → MAC → 端末 → 利用者

という関係を辿れる状態を構築することが、ゼロトラストにおける端末管理の基盤となります。

DHCPログ活用のポイント

多くの企業で利用されているWindows DHCPサーバでは、IPアドレスの割当ログを取得することが可能です。しかし、以下のような課題が見られます。

  • 保存期間が短い
  • 活用されていない
  • 他システムと連携していない

ゼロトラストを実現するためには、

  • DHCPログの長期保存
  • ログ管理基盤(Graylog等)との連携

が重要になります。

脆弱性対策と端末管理の関係

端末管理は「特定するため」だけでなく、「安全な状態を維持するため」にも重要です。
例えば、

  • パッチ未適用の端末
  • 古いソフトウェアを利用している端末
  • 脆弱性が放置されている端末

これらを把握しなければ、ゼロトラストの前提である「検証」が成立しません。
OpenVASなどの脆弱性スキャンツールと組み合わせることで、

  • どの端末にリスクがあるか
  • 優先的に対応すべき対象

を明確にすることができます。

実践的な構成例(OSSによるゼロトラスト基盤)

以下のような構成により、実運用に耐える端末管理を実現できます。

  • IP管理:phpIPAM
  • DHCPログ:Windows DHCP / ISC DHCP / Kea DHCP
  • 端末管理:OCS Inventory
  • 資産管理:Snipe-IT
  • ログ管理:Graylog
  • 脆弱性管理:OpenVAS

この構成により、

  • IPアドレスから端末を特定
  • 端末から利用者を特定
  • 利用状況とリスクを可視化

することが可能になります。

Graylogの詳細情報はこちら

自動化の限界と現実的な運用

DHCPログから端末・利用者までを完全に自動で特定する仕組みを構築することは容易ではありません。実運用では、

  • ログ管理基盤での統合検索
  • 端末情報との突合

により、迅速に辿れる状態を構築することが現実的です。
重要なのは完全自動化ではなく、調査時に短時間で端末を特定できる仕組みを整備することです。

まとめ

ゼロトラストを実現するためには、単に認証を強化するだけでは不十分です。

  • IPアドレス
  • MACアドレス
  • 端末情報
  • 利用者情報

これらを正確に紐付け、さらに脆弱性の状態まで把握することが重要です。
そのためには、

  • DHCPログの活用
  • IPアドレス管理(IPAM)
  • 端末管理・資産管理の連携化
  • ログ基盤による統合

といった仕組みを段階的に整備していく必要があります。

関連情報の一覧

Snipe-IT調査報告書

無料資料ダウンロード

Snipe-ITは、WEB インタフェースから資産を管理するためのソフトウェアです。ここでの資産とは、主に企業などの組織が保有する物品を指します。本書は資産管理ソフトウェア「Snipe-IT」についての調査報告書です。

OSSアプライアンスサーバ[Snipe-IT]

アプライアンスサーバ[Snipe-IT

アプライアンスサーバとは、特定のサービスの機能を特化したサーバ製品をいいます。デージーネットでは、このSnipe-ITをアプライアンスサーバとして提供します。

ゼロタッチキッティングを実現〜OCS Inventory NG〜

OSS情報(OCS Inventory NG)

OCS Inventory NGは、ネットワーク上の各機器情報を自動収集し、IT資産の棚卸管理ができるOSSです。デージーネットでは、ゼロタッチキッティングを実現するソリューションとして、OCS Inventory NGを利用したシステムの構築をご提案しています。

資産管理ツールとは?無料で使えるおすすめOSS比較4選

資産管理比較

企業の資産を管理するツールとして資産管理ツールを導入する企業が増えてきています。ここでは、オンプレミス環境に構築できるOSSのおすすめ資産管理ツールを4選を紹介します。

無料で使えるDXツールとは?おすすめOSSと選定ポイントを紹介

OSS比較(DXツール)

DX(デジタルトランスフォーメーション)とは、デジタル技術を取り入れて企業におけるさまざまな業務プロセスを改善することを指します。ここでは、DX化に役立つOSSのツールを紹介し、導入することでどんなメリットがあるかを解説します。

資産管理システムSnipe-ITの社内導入事例

Snipe-IT構築事例

資産管理システムSnipe-ITをデージーネットの社内に導入した事例です。弊社では、業務効率化とセキュリティ強化の対策として、パソコンやマウス、ハードウェア等のIT資産や、紙やペンなどの消耗品も資産管理システムを使って管理・運用しています。

Snipe-PCView マニュアル

Snipe-ITドキュメント

Snipe-PCViewとは、デージーネットで開発をおこなった、PCの構成情報を取得することができるオープンソースソフトウェアです。ここでは、Snipe-PCViewのインストール方法を紹介します。

Snipe-IT-Agent マニュアル

Snipe-IT-Agentマニュアル

Snipe-IT-Agentは、Windows OSまたはLinux OSのハードウェア・ソフトウェア情報を収集し、Snipe-IT資産管理システムに新規資産を登録、もしくは既存資産情報を更新することができるソフトウェアです。

デモのお申込み

もっと使い方が知りたい方へ
操作方法や操作性をデモにてご確認いただけます。使い方のイメージを把握したい、使えるか判断したい場合にご活用下さい。デモをご希望の方は、下記よりお申込みいただけます。

デモをご希望の方

デモの申し込みイメージ

OSS情報

Snipe-IT〜資産管理のOSS〜
ここではIT資産以外の消耗品等の管理もできるOSSの資産管理システムSnipe-ITを紹介します。
自動でIT資産情報を取得
〜Snipe-PCView〜
ここでは、デージーネットで開発した、Snipe-PCViewについて紹介します。
クライアントからIT資産情報を自動登録〜Snipe-IT-Agent〜
ここでは、デージーネットで開発した、Snipe-IT-Agentについて紹介します。
備品管理を行うことができるOSS
〜Snipe-IT〜
ここでは、Snipe-ITを活用した、備品管理の方法を紹介します。
棚卸管理システムをSnipe-ITで実現する方法
ここでは、Snipe-ITを活用した棚卸の方法と、現場別の活用事例を解説します。
なぜゼロトラストで端末管理が重要なのか?端末特定の仕組みと実践方法を解説
ここでは、ゼロトラストにおける端末管理の重要性と、脆弱性対策まで含めた実践的な構成を解説します。
Snipe-IT資産管理者マニュアル
デージーネットで作成しましたSnipe-IT資産管理者マニュアルです。

なぜゼロトラストで端末管理が重要なのか?端末特定の仕組みと実践方法を解説の先頭へ