第4回 ワクチンソフトの導入時の注意点、運用上の注意と対策テクニックどうしたらウイルス被害が減らせるか?
前回までで、ウイルス被害が減少しない理由、ウイルスの変遷、ウイルス対策技術について解説してきました。
今回はいよいよ、どうしたら被害が減らせるかについて解説します。
ワクチンソフトの導入時の注意点
現在、多くの企業では、ワクチンソフトの導入はある程度行われています。2002年5月、9月に発表された総務省の情報セキュリティ対策に関するアンケート結果によると、東証上場の大企業の95.2%以上が、従業員300人未満の非上場中小企業では77.2%が、すでにクライアントPC用のウイルス対策済みと回答しています。しかし、第1回でお話した通り、正しい使い方をしていないために被害が減らないというのが現状です。
この原因として考えられるのは、「ワクチンソフトをインストールすれば、それだけでウイルスから守ってくれる」と思い込んでいるシステム管理者が意外に多いからではないでしょうか。
デフォルトのインストール設定で対策がOKというワクチンソフトもあることはあります。
しかし、ポイントを押さえて導入しなければ、全く無意味なものになってしまうということを知って下さい。
ウイルスの侵入経路に応じたワクチンソフトを導入する
前回のコラムの中で、ワクチンソフトの種類を説明しましたが、様々な侵入経路用の製品の中でも「クライアントPC用製品」は必須です。次に「ゲートウェイ用製品」となり、その上で、その他の侵入経路に対応したワクチンソフトを導入していきます。
良く質問があるのは、「ゲートウェイで守れば十分なのでは?」ということですが、多くのウイルスが攻撃のターゲットにしているのはクライアントPCですので、ゲートウェイでメール型のウイルスは防げたとしても、他の侵入経路のウイルスを防げないことがあります。クライアントPCが守られていない場合には、感染した1台のPCから一気にLAN上のPC、更にはファイルサーバ、Webサーバへと感染が広がっていくことが考えられます。
全てのPCに導入する
特に、モバイルPCなど、1台でもワクチンソフトを導入していないPCがあった場合には、そこから一気に被害が広がる可能性が考えられるため、「△△部だけ」などという導入の仕方は全く意味がありません。全社の全てのPCに導入が必要です。
リアルタイム検査を有効にする
最近のウイルスは、侵入と同時に活動(メール送信など)を行うため、侵入と同時に発見する必要があります。これを行ってくれるのがシステムに常駐してウイルスの侵入を監視する「リアルタイム検査」機能です。以前は「PCの速度が遅くなる」といった理由から、リアルタイム検査を嫌うユーザがいましたが、現在の平均的なPCのスピードは十分に速くなっているため、リアルタイム検査によるストレスのことは、まず考える必要はありません。
ユーザはワクチンソフトのことを全く意識しなくても、いつでも自動的に検査を行ってくれるリアルタイム検査は、必ず有効に設定しなくてはいけません。
自動アップデートを有効にする
各ワクチンメーカーのウイルス定義ファイルは、最低でも1週間に1度以上は更新されています。1回の更新で対応するウイルスの種類は100種類~300種類にもなりますので、1回でも更新を怠れば、100種類~300種類のウイルスの侵入を許してしまう可能性があるわけです。
新しいウイルス定義ファイルは必ずダウンロードして全社のPCに配信されるよう、自動アップデート機能は間違いなく設定します。
また、数時間で一気に世界中に広がる恐れのある緊急性の高いウイルスが発生した際には、ワクチンメーカーが数時間単位で定義ファイルを更新することがありますが、このような場合には、更新された定義ファイルを漏れなくダウンロードして全社のPCに配信する必要があります。そのためには、自動アップデートの実施頻度を毎時間にするなど、設定可能な最短の時間に設定します。 多くのワクチンソフトでは、デフォルト値は「週1回」に設定されていますが、これでは緊急時に間に合わないため、必ず最短時間で更新を行うように設定してください。
また、メーカーによっては、ウイルス定義ファイルとウイルス発見エンジンとが別々に更新されるものがあり、エンジンは手動でないと更新できないものもあるため、「ウイルス定義ファイル」「ウイルス発見エンジン」「プログラム本体」のアップデート方法について、導入時に必ず確認が必要です。
集中管理機能を利用する
特にクライアントPC用製品では、設定をユーザ任せにしたために、リアルタイム検査をOFFにされてしまったり、自動アップデートの設定がなされていなかったりなど、導入した意味がなくなってしまう可能性が十分にあります。これを防ぐために、多くの企業向けワクチンソフトには、集中管理機能が用意されています。この機能を利用すれば、全てのPCのアップデート状況、感染状況、その他設定状況が管理コンソールから集中管理できるようになります。
集中管理が行われていれば、各ユーザはアップデートなどのワクチンソフトの運用に関することに気を遣う必要はなく、業務に専念できるようになります。 企業の管理担当者からは、「ワクチンソフトはアップデートの管理が難しい」という相談がありますが、このようなユーザは集中管理機能があることを知らないのです。これは、大手ワクチンメーカーの製品の中に初期値でのインストールを行うと単体で動作するように設定されているケースがあり、集中管理を行うためにはインストール前にカスタマイズが必要というものがあるためということも考えられます。クライアントには、一旦配布してしまうと変更が難しいため、配布の前に設定ができていることを確認する必要があります。
通知の設定を行う
ほとんどのワクチンソフトには、ウイルス発見時や不具合の発生時にメールなどで通知を行う機能が備わっていますが、メールサーバの指定などの設定が必要です。
侵入経路を特定するためにも、通知機能は重要ですので、導入時に忘れずに設定するようにします。
駆除に続くアクションを設定する
ウイルスの種類には、ファイルに感染して繁殖するタイプと、自分自身を複製して繁殖するタイプ(ワーム)があります。前者は感染しているウイルスプログラム部分を切り離すことで「駆除」が可能ですが、後者はそのファイル全体がウイルスであるため、駆除はできません。従って、ワクチンソフトはウイルス発見時に、まず「駆除」を試み、駆除ができない場合にどうするかというアクションを設定できるようになっています。
多くのワクチンソフトでは、デフォルトで最初の「駆除」の設定はなされていますが、次のアクションはマチマチです。ウイルスを残さないためには、次のアクションは「削除」が推奨と言えます。従いまして、「駆除」に失敗した場合は「削除」という設定にすることをお奨めします。
運用上の注意点
前述の導入時の注意点を守っていただければ、運用の手間はほとんど必要ありません。しかし、放ったままで良いということでもありません。常に安全な状態を保つため、以下の点にご注意下さい。
ワクチンソフトの動作を確認する
ワクチンソフトもプログラムですから、不具合が発生することもあります。例えば自動アップデートを有効にしていても、いつのまにかワクチンソフトのサービス自体が停止してしまっていたといったことは良くあることです。これを防ぐために、定期的にログを確認する必要があります。
クライアント側のワクチンソフトが停止していることも考えられます。こちらは集中管理ツールによって確認します。
セキュリティパッチをあてる
CODEREDやSlammerなど、セキュリティホール(セキュリティ上の問題点)をついた攻撃を仕掛けるウイルスもあります。これらのウイルスに対しては、幾らワクチンソフトを入れておいても、対象となるセキュリティホールを塞がないかぎり、防ぎようがありません。
よく、「公開しているサーバを守るワクチンソフトはありませんか?」という質問を受けますが、「ワクチンソフトでは、サーバのセキュリティホールは塞げない」という認識をしっかり持つ必要があります。使用環境を把握して、自身の環境に対応するセキュリティホールを常に塞ぐことが求められているのです。
ウイルス情報、ワクチンメーカー情報を入手する
新種ウイルスによっては、今までにない侵入・感染手段を持っていることがあり、その時点ではワクチンソフトが対応していないことがあります。このようなウイルスがいつ発生するかはわかりませんので、常にアンテナを伸ばして、メーカーや情報処理振興事業協会( IPA:URL: http://www.ipa.go.jp/security/ )のホームページによって、新種ウイルスの情報を収集するようにします。
また、ワクチンソフトによっては、自動アップデートが行えないものもあります。特にウイルス発見エンジンやプログラム本体については注意が必要です。これらのアップデート情報は、ワクチンメーカーのホームページなどで公開されます。定期的にホームページを確認するか、若しくはメールによる通知サービスを申し込んで、遅れることなくアップデート情報を入手するようにします。
その他のウイルス対策テクニック
ワクチンソフト以外にも、簡単な設定をすることによってウイルスに強い環境を作ることが可能です。
全ての拡張子を表示させる
Windowsのデフォルト設定は、MS Wordの拡張子「.doc」やExcelの「.xls」などの登録済の拡張子は表示しない設定になっています。多くのウイルスは二重拡張子を使うことによって、単なるテキストファイルに見せかけるというテクニックを使っていますが、全ての拡張子が表示されていれば、騙されにくくなります。
(例:xxx.txt.exe、yyy.txt.vbs)
IEのセキュリティ設定を上げる
ホームページを見ていると、システムが停止するまでウインドウを開き続けるものや、PCにある個人情報を盗み見るといった不正なプログラムが仕込まれていることがあります。IEのセキュリティ設定を上げておけば、JavaやActiveXを利用した不正なプログラムの実行を防ぐことが可能です。
メールソフトのセキュリティレベルを上げる
メールの設定をプレビューしない設定にする、HTMLメールを表示しないメールソフトを使う、実行型ファイルの削除機能のあるメールソフトを使うなど、ウイルス対策を考えてメールソフトを利用します。
マクロウイルスを意識した設定
第2回で説明したように、マクロ機能を利用して感染を広げるウイルスをマクロウイルスといいます。MS Wordマクロウイルスでは、ほとんどの場合が標準の雛形ファイルであるNormal.dotファイルを書換えます。
これに対して、Wordの「標準設定を変更するかどうかを確認する」オプションを有効にしておけば、確認メッセージによって異常に気づくことができるのです。
この他、マクロを利用できる多くのアプリケーションには、マクロウイルスに対抗する設定が用意されていますので、これらの設定を積極的に利用するようにします。
VBSの機能を無効にする
Windows 98以降のWindows OSには、VBS(Visual Basic Script)が実行出来る環境が予めインストールされています。LOVELETTERウイルス以降、VBS型ウイルスが増え続けていますが、普段VBSファイルを使わないのであれば、拡張子.VBSの関連付けをはずしてしまうことで、不用意なクリックによるVBS型ウイルスの実行を防ぐことができます。
以上のような点に注意していただければ、効果的なウイルス対策が可能です。
いかがでしょうか? 皆さんの会社のウイルス対策はきちんと出来ていましたか。このコラムをきっかけに、今一度確認されてみたらいかがですか。
そして、問題点が見つかった際には、情報セキュリティの専門サービスを提供している当社にご相談下さい。
問題点が見つかった際には、情報セキュリティの専門サービスを提供している当社にご相談下さい。