全方位的ウイルス対策のすすめ：特集 いま、ウイルス対策を再考する：運用編（3/5 ページ）

[二木真明（住商エレクトロニクス），ITmedia]

　自動感染プログラムが組織内に持ち込まれる経路はいくつか存在するが、先に述べた、ユーザーPCに直接感染を引き起こすケースが最も可能性が高い。多くの自動感染プログラムは複数の感染方法を組み込んでおり、メールやWebサイト経由でも感染できるからだ。特に、ノートPCなどを持ち出した先で感染し、端末をそのまま持ち帰ってネットワークに接続することで大量の内部感染を引き起こすケースは、昨年のBlasterやNachiの場合にも多数報告されている。

　一方で、インターネットから公開サービス経由で内部に侵入されるケースは、多くのサイトではDMZを設けて公開サーバを管理しているため、比較的少ないとみられる。しかし、マイクロソフトのSQL Serverの脆弱性を狙った昨年2月のSlammerワームの大流行のように、内部に侵入されてしまうケースがあるのも事実だ。また、こうしたプログラムが生成する通信トラフィック自体がインターネットのインフラにとって大きな脅威となる可能性もあるため、油断はできない。

感染経路ごとの対策を見直す

1.ユーザーPCでの対策

　ユーザーPCを既知の不正プログラムから保護する主な対策は、当たり前のようだがウイルス対策ソフトの導入である。この対策を講じることで、それがいかなる経路から侵入しようとも、少なくとも感染行動を開始する時点で不正プログラムの動きを封じることができる。ウイルス対策の最終ラインとして必ず導入しておきたいものだ。

　しかし、ウイルス対策ソフトがすべての不正プログラムに対応できるわけではない。いわゆるスパイウェアと呼ばれるものについては、ウイルス対策ソフトウェアでは検出、駆除できない場合もある。重要な情報を取り扱う可能性があるPCについてスパイウェア侵入の危険性があるならば、専用の対策ソフトの併用を検討することが必要かもしれない。

　また、SlammerやCodeRedのような、メモリ上にのみ存在するようなワームについても検知が困難な場合がある。したがって、当然ながら、こうしたワームの侵入の糸口となる既知の脆弱性については、適切なパッチ導入を行って対策を講じておきたい。

　電子メールやWebを経由した既知ウイルス／ワームの侵入についても、ユーザーPC側に対策ソフトが導入されていれば、感染そのものは防止できる。しかし以下の理由から、ある程度以上の規模の組織では、メールサーバやファイアウォールなど、外部とのゲートウェイ上で通過ウイルス除去を行うことを推奨したい。

　一つの理由は、メール感染型ウイルス／ワームは時々、爆発的に流行することだ。対策を行っているのがユーザーPC側のみだと、大量のウイルス付きメールが届くために、PC上でウイルス検出警告が頻発することになる。これはユーザーを不安に陥れると同時に、サポート部門に対する問い合わせの激増といった形で混乱を引き起こす可能性がある。もしもメールサーバ上でウイルスが除去されていれば、こうした混乱はかなり軽減できる。

　また、電源投入などのタイミングによっては、各ユーザーPCのパターンファイル更新状況にばらつきが出る可能性がある。特に、緊急にパターンが更新されたような場合は、ほんの少しの差で更新が間に合わなかったPCが感染してしまうケースも十分に考えられる。このような際に、まずゲートウェイ上の対策システムを優先して更新しておけば、少なくともメールやWeb経由の感染は防ぐことが可能だ。

　最後の理由は、二重の防御を行うことで安全性を強化できる点だ。特に、クライアントとゲートウェイで、それぞれ異なるメーカーの製品を使って対策を行うことには大きな意味がある。新種のウイルスへの対応は、メーカーによってばらつきが生じるのが常だ。どのメーカーが優秀というものではなく、その時々によって一番乗りするメーカーは変わる。したがって、異なるメーカーの製品を併用していれば、常に早いほうのタイミングで対策が有効になるため都合がいい。

　残念ながら現在のウイルス対策ソフトの仕組みでは、クライアントに複数の対策ソフトを導入することは困難だ。そこで、ゲートウェイ対策とクライアント対策の2つの分野で、異なるメーカーの製品を採用するのが最も合理的と言える。