法人(企業・団体)向けウイルス対策ソフトと個人・一般向け製品の違い
2021/03/12
本エントリーの目次
多数のアンチウイルスソフトウェアの管理が大変で、管理しきれない!
PCが10台以上あるような法人(企業・団体)で、PCやネットワークの管理、セキュリティー対策などの業務を行っている方の中には、多数のアンチウイルスソフトウェアの管理が大変で、管理しきれない!
という悩みをお持ちの方もいらっしゃると思います。
こういった管理を行うのは、多くの場合システム管理者の方か、その団体の中で特にPCにくわしい方でしょう。
PCの台数が100台を超えるような規模になってくると、法人向けのアンチウイルスソフトウェア製品を使っている会社・団体さんが多いため、このような悩みを持っている方は少ないはず。
そのため、使用しているPCの台数が10~100台程度の規模の法人の管理者の方が、困っているんじゃないでしょうか。
そこで今回は、こういった悩みを持っているシステム管理者やセキュリティー対策の担当者の方向けに、法人(企業・団体)向けウイルス対策ソフトの個人・一般向け製品との違いや特長について、ご紹介します!
はじめに
本エントリーで紹介している法人(企業・団体)向けウイルス対策ソフトの特長や使用可能な機能、システム構成については、多くの企業向け製品で一般的なものです。
ただ全部の製品で共通して搭載している機能ばかりではなく、特定の製品でのみ使用可能であったり、既に廃止されている機能を紹介している場合もありますこと、あらかじめご了承ください。
また主な内容は、クラサバ構成の法人向けアンチウイルスソフトウェア製品についてであり、近年普及が進みつつあるクラウド型の製品には言及していませんこと、重ねてご了承ください。
管理しきれないのは、個人・一般向けのアンチウイルスソフトウェア製品を使っているから
PCが10台以上あるような法人(企業・団体)のシステム管理者の方や、セキュリティー担当の方が、多数のアンチウイルスソフトウェア(ウイルス対策ソフト)の管理が大変で管理しきれない!
と感じるようになるのは、PCの台数が少ないときには問題なくこなせていた各PCに対してのプロダクトキーやシリアルナンバーの入力、フルスキャンのスケジューリングなど各種設定が、PCの台数が増えるにつれて手間がかかるようになった、などの問題に直面したときでしょう。
またこのときには、PCごとや小グループ(3~10台)ごとに異なるプロダクトキーやシリアルナンバーについて、PCの追加や廃棄の繰り返しで分からなくなり、キーの管理が難しくなってきた。
更新時期が把握できていないため、どのPCのアンチウイルスソフトの更新時期が近づいているのか分からない。
さらに管理ができていないことによりライセンスの過不足が発生。
これにより無駄な更新費用がかかったり、定義ファイルが更新できず、PCが危険な状態のまま放置される。
といった問題にも困っていることが多いはず。
これら問題は、複数のPCのアンチウイルスソフトの管理機能を持っていない、個人・一般向けのアンチウイルスソフトウェア製品を使っている場合に起こりやすいです。
個人・一般向けのアンチウイルスソフトウェア製品は、複数のPCのアンチウイルスソフトの管理機能を持っていない
現在市販されている個人・一般向けのアンチウイルスソフトウェア製品の多くでは、自身の設定はできるものの、他のアンチウイルスソフトウェアの設定を管理する機能は持っていません。
これはそもそもの用途が個人・一般向けであるため、そういった機能が必要ないからです。
そして多数のPCを所有・動作させている法人でも、そういった個人・一般向けのアンチウイルスソフトウェア製品を使っているケースは決して少なくありません。
この場合には、たとえば以下製品のような家庭用の3~10台ライセンスの製品を、PCの台数分購入して使っていることでしょう。
こういった製品を購入すると、ライセンスで許諾された台数のPCにソフトをインストール・使用可能です。
プロダクトキーやシリアルナンバーは、同じライセンスを適用したPCについては同じものを使って認証するため、1台版のライセンスを購入するのに比べれば、管理はしやすいでしょう。
ただインストールする製品は1台版と同じものであり、他の端末のアンチウイルスソフトウェア製品を管理する機能はありません。
これに対して、法人(企業・団体)向けのアンチウイルスソフトウェア製品では、複数のPCのアンチウィルスソフトウェア製品を管理する機能を持っており、システム管理者やセキュリティー担当者の方の管理の手間を大幅に軽減可能です。
法人(企業・団体)向けのアンチウイルスソフトウェア製品の特長や、個人・一般向け製品との違い
法人(企業・団体)向けのアンチウイルスソフトウェア製品の特長や、個人・一般向け製品との違いには、たとえば以下のようなものが挙げられます。
クラサバ構成の製品が多い
個人・一般向けのアンチウィルスソフトウェア製品では、ソフトウェア単体で動作するスタンドアローン構成がほとんどです。(厳密には外部サーバーに定義ファイルを取得しにいくので、完全スタンドアローンと言って良いかは微妙ですが…。)
これに対して、法人向けアンチウィルスソフトウェア製品では、オンプレミス(自社敷地内に設置)のクラサバ構成(クライアント・サーバー構成)の製品が一般的。(最近はクラウド型の製品も徐々に普及しつつあります。)
サーバーがダウンしていても、クライアントソフトウェアは引き続き動作しますが、管理機能が使えない・定義が更新できないなど、機能の一部が利用できなくなります。
そのため基本的には、常時サーバーとクライアント双方のソフトウェアが正常に動作している必要があります。
そしてこういった構成の都合上、一般向けの(スタンドアローン型)アンチウイルスソフトでは必要ない、サーバーPCが最低1台は必要です。
またサーバー用管理ソフトウェアには、通常サーバー用のアンチウイルスソフトウェアは含まれません。
サーバー上でもアンチウイルスソフトウェアが必要であれば、別途サーバー用のアンチウイルスソフトウェア製品を購入・導入する必要があります。
ちなみに以下のような一般向けアンチウイルスソフト製品を販売しているKasperskyさんは、法人向け製品も販売しており、クライアントソフトウェアがKaspersky Endpoint Security for Business。
サーバー用管理ソフトウェアはKaspersky Security Centerという名称で開発・販売しています。(Kaspersky Security CenterはKaspersky Endpoint Security for Businessに付属。)
クライアントPCへのインストールは管理サーバーから一括で可能!
法人向けアンチウイルスソフトでは、クライアントPCへのクライアントソフトウェアのインストールは、PCそれぞれに個別で行う必要はありません。
もちろんそういったインストールも可能ですが、クライアントPCに事前に設定※をしておけば、サーバー用管理ソフトウェアで設定を行うことにより、クライアントソフトウェアのインストーラーの配布とインストールを自動で実行できます。
これはActive Directoryを構築しているドメインネットワークであれば、グループポリシーでも可能です。
ただインストール時の細かい設定も併せて配布できるなど、利点が多いでしょう。
数十台以上のPCが存在する場合、インストールの手間は相当なものです。
またソフトウェアのアップグレードを行う場合も、再度インストールの手間が発生します。
これに対して、自動インストールやアップグレードの設定を行っておけば、各クライアントPCを個別に操作する必要はなく、自動的に作業が完了します。
この手間の軽減効果は、PCの台数が増えるほどに大きくなるでしょう。
アンチウィルスソフトウェアのメジャーバージョンアップも法人向け製品であれば、サーバー用管理ソフトウェアで設定を行うだけで、自動でクライアントソフトウェアのメジャーバージョンアップができる製品が多いです。
※たとえばWindows ファイアウォールやUACの無効化などの事前準備が必要なことが多いです。
これらの設定はADのグループポリシーにより一時的に設定を変更するか、個別に各PCの設定を変更する必要があります。
強力な管理機能を持っている!
法人向けアンチウイルスソフトの最大の特長であり、導入メリットでもあるのが、その強力な管理機能です。
具体的にはたとえば以下のような管理機能を使えるのが一般的でしょう。
ライセンスの割り当てと解除をサーバー用管理ソフトウェアで実行できる!
一般向けの製品では、複数台にインストール可能なライセンスを購入しても、各PCに個別にプロダクトキーを入力しなければいけません。
これが結構手間なんですよね。
ところが法人向けの製品の場合、サーバー用管理ソフトウェアに購入した複数台分のライセンスを読み込ませると、管理ソフト上で割り当て可能ライセンスが購入した数の分だけ増加します。
そして管理ソフトはネットワークに存在するPCをWindowsネットワークやIPサブネットワークへのポーリング、またはADのサーバーに問い合わせることで見つけてくれるので、それらにGUI操作でライセンスの割り当て処理を行うだけで、ライセンスの割り当てが完了します。
これとは逆に割り当てたライセンスの解除も、ドラッグ&ドロップなどのGUI操作だけでOK!
こういったライセンスの管理方法であるため、ライセンスの残数や、未使用PCへの無駄なライセンスの割り当てを把握しやすいのです。
ポリシーを一括でクライアントに設定できる
ポリシーとは、アンチウィルスソフトの細かい設定のこと。
たとえばフルスキャンの範囲や動作開始時間、除外条件などをまとめてポリシーと呼びます。
一般向けのアンチウィルスソフトでは、これら設定を個別に定義するのが基本です。
ソフトウェアによっては、設定をインポート・エクスポートできる機能を持っているものがあり、この場合には代表の1台でベースの設定を作成してエクスポート。
その設定ファイルを他のクライアントPCにコピーして、インポートすることで各PCの設定を同じにすることが可能です。
しかしこれもPCが数十台以上になると、かなりの手間でしょう。
法人向け製品では、サーバー用管理ソフトウェアで定義したポリシーを、制御下にあるクライアントPCにネットワーク経由で自動で配布できるので、設定を反映する手間がかかりません。
またサーバー用管理ソフトウェアで定義したポリシーを変更すると、その直後にクライアントPCに配布し、ほぼリアルタイムで設定を変更してくれます。
ちなみにポリシーは複数作成可能であり、またコンピューターもグループ化することができます。
これにより一般社員向けのPCには制限が強いポリシーを適用し、開発者などには緩めのポリシーを適用する。
といった運用が可能となっています。
ポリシーを強制できる!(セキュリティーレベルを統一できる!)
アンチウイルスソフトウェアがスキャン中のPC動作の速度低下を嫌って、システム管理者がインストール・設定したアンチウィルスソフトウェアの設定を、一般社員が勝手に変更してしまうことがあります。
多くの場合こういった設定変更は、スキャンしないように設定するなど、セキュリティー上好ましくない方向への変更がほとんどでしょう。
法人向けのアンチウイルスソフトウェア製品では、クライアントPCのソフトウェアが定期的にサーバー用ソフトウェアと通信して、ポリシーをダウンロードしてきます。
このとき、サーバー用ソフトウェアで定義されているポリシーと異なっている箇所があれば、自身のポリシーを書き換えて同期させるので、勝手に変更されたポリシーはすぐに修正されます。
したがってセキュリティー上好ましくないポリシーは、システム管理者が設定した適切なポリシーにすぐに修正されるため、セキュリティーを高いレベルに維持・向上させる効果も期待できます。
こういった機能により低いセキュリティーレベルのPCの存在を許可せず、各PCのセキュリティーレベルを統一できるのも、法人向けのアンチウイルスソフトウェア製品の素晴らしい点でしょう。
設定変更をポリシーで禁止でき、細かく制御できる!
一般向けアンチウイルスソフトウェア製品の中にも、PCの使用者が勝手に設定を変更できないように、設定画面をパスワードでロックできるものも。
ただこれも数台であれば大した手間ではありませんが、数十台規模となると設定の手間が膨大になります。
法人向けの製品ではポリシーを配布する際に、設定のどこをユーザーが変更できるようにするか、またパスワードロックするかを細かく設定可能です。
アンインストールもポリシーで禁止できる!
一般社員にPCの管理者権限を付与している職場の場合、一般社員がアンチウィルスソフトウェアをアンインストールできてしまいます。
しかもこれにシステム管理者がすぐに気付けないことが多く、長時間PCが危険な状態となってしまうことも。
こういった状況のPCでは、アンチウィルスソフトウェアがインストール・更新されていれば防げていたかもしれない、ランサムウェアなどのマルウェアの被害にあってしまうかもしれません。
そのため一般社員に管理者権限を与えている環境であっても、アンチウィルスソフトウェアのアンインストールは制限した方が良いでしょう。
法人向け製品では、ポリシーにより自身のアンインストールにパスワードロックをかけることができるので、この機能を利用すればOKです。
たとえPCの使用者が管理者(ローカル Adminisrator)権限を持っていようが、パスワードを知らなければアンインストールすることはできません。
脆弱性情報やウィルスの検出数、ログを収集できる
法人向けのアンチウィルスソフトウェア製品では、クライアントPCの脆弱性情報やウィルスの検出数、アンチウィルスソフト製品のログを収集可能※です。
そのためソフトウェアの脆弱性が多数残っているPCを見つけ出して、各ソフトウェアのアップデートを適用する。
ウィルスの検出数が多いPCの使用者に注意喚起するなどの対応が可能になり、セキュリティーの向上につながります。
またアンチウィルスソフトウェアのログを収集できる場合には、このログからソフトウェアのエラーを早期に発見できるなどのメリットがあります。
※購入している製品のライセンスのグレードによっては使えない場合あり。
低いグレードの製品では、こういった機能が利用できないことがあります。
社外へのネットワークトラフィックを減らす
アンチウィルスソフトウェア製品を多数のPCにインストールしていると、定義ファイルを取得するために外部サーバーへのアクセスが増え、このネットワークトラフィックの多さが問題になるかもしれません。
この問題について、法人向けの製品を導入すれば社外と社内をまたがるネットワークトラフィックを大きく軽減可能です。
法人向けのクライアントPC用のアンチウィルスソフトウェアは、初期設定ではアンチウィルスソフトウェアメーカーが公開している定義ファイル配信外部サーバーにアクセスしない設定となっています。※
そして社内に設置したサーバー用管理ソフトウェアに定義ファイルを取得しに行きます。
これにより各クライアント・社内サーバー間の通信料は増えますが、外部にアクセスしないようになります。
そのため内部(社内)と外部(社外)をまたがる通信は大幅に減るのです。
社内に設置したサーバー用管理ソフトウェアは、定期的にアンチウィルスソフトウェアメーカーが公開している定義ファイル配信外部サーバーにアクセス。
自身の定義ファイルを最新に更新し、これを配下のクライアントに配布する仕組みをとっています。
※メーカーが公開している定義ファイル配信外部サーバーにアクセスするよう、ポリシーで変更可能なことが多いです。
ライセンスを1か月単位で購入できることが多い!
法人の場合は入社や退職、転属などにより、使用するPCの台数が頻繁に上下します。
このとき一般向け製品のライセンスは、最低単位が1ライセンス・1年であることが多く、数か月分無駄になってしまった…。
なんてことがよく起こります。
ところが法人向けライセンスの場合は1か月単位で購入できる※ことが多く、無駄になりにくいのです。
※ライセンス数については最低10ライセンスから、といった制限がつくことがあります。
システム管理者やセキュリティー担当者の管理コストが大幅に減る!
既に書いたように、法人向けのアンチウィルスソフトウェア製品には、一般向け製品にはない強力な管理機能が搭載されています。
この機能の利用により、システム管理者やセキュリティー担当者の管理コスト(時間や手間)が大幅に減るのは間違いありません。
小規模の法人では、専任のシステム管理者がいないこともあり、PCにくわしい社員が本来の業務の片手間にこういった管理業務をすることも少なくないでしょう。
法人向け製品の導入で管理コストが減れば、本来の業務に従事できる時間を増やせます。
また管理コスト削減効果は、管理しているPCの台数が増えれば増えるほどに大きくなるものです。
そのため規模が大きい法人で一般向け製品を使っている場合には、法人向け製品への切り替えを強くおすすめします。
エンドポイント セキュリティー・プロテクションと呼ばれるのはなぜ?
法人向けのアンチウィルスソフトウェア製品は、○○ Endpoint △△という名称の製品が多いです。(特に○○ Endpoint Securityや○○ Endpoint Protectionが多い。)
エンドポイント(Endpoint)とは、ネットワークの末端に接続されたパソコンやタブレットなどの端末のこと。
それら端末を脅威から守るためのセキュリティー対策ソフトのため、エンドポイント セキュリティーと呼ばれているのでしょう。
ちなみにエンドポイント(ネットワークの末端)の対となる言葉がゲートウェイ。
こちらはネットワークの出入り口で、ルーターなどの機材が使われます。
またゲートウェイにセキュリティー機能をもたせたUTM(Unified Threat Management = 統合脅威管理)という製品も広く利用されています。
たとえばFortinet社のFortiGate製品が有名です。
尚、UTMによりネットワークの出入り口にセキュリティー対策を施したので、エンドポイント セキュリティーは不要だ!
と考えてしまうかもしれませんが、そんなことはありません。
UTM製品では、ウィルスに感染したUSBメモリーをPC(エンドポイント)に接続してしまい、そのPCがウィルスに感染してしまうケースなどを防ぐことはできません。
法人向けアンチウィルスソフトウェアの価格は一般向け製品に比べて高いの?
一般向け製品から法人向けアンチウィルスソフトウェアに乗り換えるにあたり、1ライセンスあたりの価格が上がるのか、という点も気になるところでしょう。
これについては結論から言いますと、下がることもあれば上がることもあり、どちらになるかは分かりません。
法人向けアンチウィルスソフトウェアのライセンスはネット通販サイトで購入できることはほとんどなく、代理店を通じて購入するのが一般的です。
そして購入するライセンス数に応じてボリュームディスカウント(大量購入による値引き)がきくため、多数のライセンスを購入した場合は単価がかなり安くなります。
たとえばKaspersky Endpoint Security for Businessでは、Core製品(一番低機能のエディション)のボリュームディスカウントの価格は以下のとおりです。(2016年3月9日のデータ)
Kaspersky Endpoint Security for Business Coreでは10~14ライセンスの購入時、単価が1,620円。
これが100~149本購入の場合には1,455円と、1本あたり165円安くなります。
Kaspersky Endpoint Security for Business製品では、クライアントのライセンスを購入すればサーバー用管理ソフトウェアも使用可能になります。
そのため、たとえば100台のクライアントPCにKaspersky Endpoint Security for Business Coreをインストールし、これをサーバー用管理ソフトウェア Kaspersky Security Centerで管理したい場合、Kaspersky Endpoint Security for Business Coreを100ライセンス購入すればOKです。
現在他社製品を使っているのであれば乗換1年の料金が適用されるので、税込み15万7140円で導入できる計算となります。
ただこの価格は希望小売価格であり、実際にはもう少し値引きされることが多いでしょう。
以上が1ライセンスあたりの価格が下がる要因であり、上がる要因としては高機能版の利用が考えられます。
Kaspersky Endpoint Security for Businessでは、一番低機能であるCore製品の10ライセンス購入時(乗換1年)の単価が1,620円です。
そして最上位版のAdvanced製品の10ライセンス購入時(乗換1年)の単価が13,950円です。(Kaspersky – カスペルスキー法人 ライセンス 標準価格より)
Coreに比べて単価が8倍以上であり、一般向け製品からこういった高機能版のソフトウェアに切り替えた場合、大幅に費用が上がります。
ちなみにAdvancedではアプリケーションやデバイスの制御など、いくつかの高度な機能が利用可能となります。
Windows Serverが必要なの?
サーバー用管理ソフトウェアを使うわけだから、Windows ServerなどのサーバーOS製品が必要だと思われるかもしれません。
これについては製品によって異なるでしょうが、多くの場合必須ではないものの、ほぼ必須となるはずです。
と言いますのも、Windows 10などの一般向けのWindowsに対しては、ファイル共有やプリンター共有、IISなどの利用を目的として、最大20台の自身を除く他のデバイスからの接続のみ限定的に許可する、というライセンスの許諾が適用されているからです。
これについては以前にくわしく書いているので、興味がある方は併せてご覧ください。
一般向けWindowsはサーバー機能を提供してはダメ?ファイル共有はNG?
そのため、Kasperskyさんのサーバー用管理ソフトウェア Kaspersky Security Centerのインストールマニュアルでも以下のように書かれており、一般向けWindows OS環境へのインストールは可能だが、利用は小規模環境限定でおすすめ、としています。
KSC をクライアントOS (Windows 7, Windows 8) にインストールすることは可能ですが同時接続セッション数が20 に制限されているため、利用は小規模環境に限定することをおすすめします。
(Kaspersky Security Center 10 SP1 Kaspersky Endpoint Security 10 SP1 簡単インストールガイドより引用)
法人向けのアンチウイルスソフトウェアの購入を検討されている場合、すでにPCの台数が20台を超えている。
または近々超えるであろうという環境が多いでしょうから、事実上Windows ServerなどのサーバーOS製品が必須でしょう。
法人向けのアンチウィルスソフトウェア(ウィルス対策ソフトウェア)製品の例
さて、ここまで個人・一般向けのアンチウィルスソフトウェア(ウィルス対策ソフトウェア)と、法人(企業・団体)向け製品の違いや、法人向け製品の特長・導入メリットをご紹介してきました。
最後に法人向けアンチウィルスソフトウェアの代表的な製品をいくつかご紹介しておきましょう。
- ESET Endpoint Protection Standard(高機能版はAdvanced)
- TREND MICRO Endpoint Security
- Symantec Endpoint Protection(SEP)
- McAfee Endpoint Threat Protection
- Kaspersky Endpoint Security for Business(Core、Select、Advanced)
これ以外にも多数の製品がありますので、実際の導入検討にあたっては、各製品の価格や機能を総合的に比較・検討の上、決定してください。
またアンチウィルスソフトウェア製品は、自社で利用しているパッケージソフトウェアや自社開発ツールの動作を阻害したり、ウィルスとして誤判定して隔離するなど、実際の業務を停止させてしまう恐れがあります。
そのため導入前に評価版のソフトウェアを使って念入りに検証を行うようにしてください。
可能なかぎり本番環境に近い構成のテスト環境を用意して事前に入念なテストをすることを強く推奨します。
個人的には導入コストや管理コストの削減、セキュリティーレベル統一(高いレベルに保つ)の観点から、すでにWindows ServerなどのサーバーOSを導入している。
またはPCの台数が10台を超える環境であれば、法人(企業・団体)向け製品の導入をおすすめします。
法人向け製品の利用を検討されているのであれば、ぜひ前向きに検討なさってください。