Level2：ウイルス対策ソフトの機能を引き出すポイント：いま、ウイルス対策を再考する（2/2 ページ）

[星澤裕二，ITmedia]

　ネットワークのセキュリティに冒険は不要である。最も効果的な防止策を採用し、セキュリティポリシーとセキュリティ対策の弱点を見つけて対応する必要がある。

　優れたセキュリティポリシーには、高いレベルの目標、目標を達成するための基準、基準を達成するためのプロセスが含まれる。自社の体制で変更箇所を決定する時は、次の点を検討すべきだろう。

• 新たな脅威に対応するために文書化したポリシーを更新する。具体的には、電子メール、インターネット、ネットワーク・トラフィックのコンテンツフィルタリング、または高リスクのインターネット情報を遮断する必要があるか、といった事柄を検討する
• セキュリティポリシーに強制規定を盛り込む。ポリシーに違反したシステムは自動的に無効化され、ポリシーを遵守しなかった従業員は、人事規定に基づいて処罰を受ける可能性がある
• インシデント対応手順を策定して、ウイルス対応チームを召集する
• 感染対応プロセスを簡素化するために、技術関連部門内とチーム間の報告体制とコミュニケーション・プロセスを明確化し調整する
• ユーザーを教育し、ウイルス感染の疑いが生じた場合の連絡先を確認する
• 積極的なウイルス対策の重要性を経営幹部に理解させる
• すべての重要なファイルにバックアップサーバを用意する

　ポリシーを更新したならば、それを遂行するために技術インフラにも変更を加える必要が生じるかもしれない。その場合、次のような変更が考えられる。

• アンチウイルスソフトをインストールして、電子メール、インターネット・トラフィック、ネットワーク・トラフィック、およびローカルファイル・アクセスをフィルターする
• 一元管理の可能なアンチウイルスソフトを実装して設定を管理するとともに、最新のウイルス定義ファイルを維持し続ける
• ホストベース、およびネットワークベース侵入検知技術をインストールする。ホストベースの侵入検知技術は、アンチウイルスソフトが見逃すマリシャスコードも検出する。ネットワークベース侵入検知技術は、感染蔓延の測定を支援し、最新の技術では感染／蔓延の阻止も支援する
• セキュリティ管理ソフトウェアをインストールして、ポリシーの遵守とシステムのパッチ適用状況を監視する
• ウイルス感染時に容易にセグメント化できるように、ネットワーク接続形態を簡素化する
• 電子メールのコンテンツフィルタリング技術をインストールして、メッセージの件名、または本文に含まれるテキストの文字列に基づいて電子メールを遮断する
• デスクトップ・ファイアウォール（パーソナル・ファイアウォール）を実装して、特定のポートを利用するウイルスの繁殖を遮断する。デスクトップ・ファイアウォールは、VPNやワイヤレス・ソリューションの出現により、重要性が上昇している

　このようにポリシーと技術を更新すると、管理プロセスも変更する必要が生じる可能性がある。たとえば、フルタイムのウイルス対策管理者が必要になったり、あるいはこの機能のアウトソースを考えたりする必要が出てくるだろう。状況によっては、特定のサイト、サブネット、サーバ、または機能のウイルス対策管理をアウトソースしたいと考えるかもしれない。サブネット、またはSMTPサーバなどデバイスの境界のアウトソースは、特に効果的かもしれない。

　いずれにせよ、日常的にバックアップを取り、ポリシーが遵守されているかを監視すれば、深刻な攻撃を受けたとしても、被害は最低限のデータ喪失だけで済む。ほかにも基本的な改善方法として次のことが挙げられる（図3）。

• ユーザーによるアンチウイルスソフト無効化の禁止
• 電子メールの添付ファイルとして利用可能なファイル拡張子の制限
• システムのパッチを最新版に保つためのプロセスの実装
• アンチウイルスソフトの稼動、ならびにシステムが最新の状態に更新されていることを確認するための技術やプロセスを設定
• 一般ユーザーのシステム変更権限の制限
• ユーザーにあまり使用されておらず、しかもウイルスの繁殖方法として有名な「Windows Scripting Host」の無効化。OutlookとInternet Explorerのスクリプトについても削除を検討する可能性あり
• 社外のIMシステム、ニュースグループ、電子メールサーバ、社外で管理する通信プラットフォームへの接続を無効化

図3●ウイルス対策ソフトに頼るだけでなく、これらの基本的なセキュリティ対策を取ることも重要

　こういった項目に常に気を配ることによって、せっかく導入したアンチウイルスソフトを「宝の持ち腐れ」にすることなく、十分にその機能を活用できるようになるだろう。