全方位的ウイルス対策のすすめ特集 いま、ウイルス対策を再考する:運用編(5/5 ページ)

» 2004年09月01日 23時40分 公開
[二木真明(住商エレクトロニクス),ITmedia]
前のページへ 1|2|3|4|5       

 こうした危機管理については次回のテーマだが、対応を行おうにも、対応すべきインシデントを発見する仕組みがなければどうしようもない。考えられる予防対策が講じられている状況下で、それをすり抜けた不正プログラムを直接的に発見するよい手段は見つからない。

 ほとんどのウイルス対策ソフトは、何らかの形で未知ウイルスの発見機能をサポートしている。メーカーによって方法は多少異なるが、多くのウイルスに共通の挙動や感染ファイルの状態など、複数の条件を元に未知のウイルスに感染した可能性を計算するようなものだ。

 こうした方法の有効性は否定しない。しかし、ウイルス対策ソフトにとって最も重大な問題は、それが「広く市販されている」製品だということだ。当然、ウイルス作者もこれを入手できるし、自分が作ったウイルスを検出できるかどうかを確認できる。つまり、作者がウイルス対策ソフトを手に入れ、検出されないウイルスを試行錯誤的に作ることも可能になる。

 もちろん、対策ソフトメーカーもこうした問題は認識しつつ、処理の一部をランダムに行ったり、一意的な回避策をとれないように配慮はしているようだ。だがいずれにしても、イタチごっこの状況であることに間違いはない。我々ユーザーとしては、未知ウイルスの発見機能にはあまり期待しすぎないほうがよさそうだ。

 だとすれば、未知ウイルスへの感染を直接的に見つける方法はないに等しい。こうした感染によって二次的に発生するいくつかの事象を組み合わせて、感染の兆候を見つけ出すしかないのである。

 たとえば、メール大量送信型ウイルスの場合、感染したユーザーPCを発信元とした大量のSMTP通信が、インターネットへの出口にあるファイアウォールを通過することになる。企業の場合は一般に、自社のメールサーバを通過しないメール送信は比較的少ないため、こうした通信が急増したならば、まずウイルスの侵入を疑うべきである。前述したように、ファイアウォールでこの種の通信を止めていれば、ポリシー違反の頻発によるアラームを管理者が受け取ることもできる。

 また、ネットワーク経由で感染するワームの場合は、その多くが、内部ネットワークだけではなく外部のグローバルアドレスの範囲をスキャンするという挙動を見せる。

 たとえばNachiの場合は、ICMP ECHO パケット(Pingパケット)によるスキャンが大量に発生した。こうした傾向もファイアウォールのログから見て取ることができる。ファイアウォール自身がこうしたセッションの数をカウントしてアラームを出す機能を備えていなければ、たとえばsyslogサーバにログを飛ばすなどして、そちら側で簡単なプログラムを書いて検出させることも可能だ。

 大規模なサイトでは、マルチベンダーの機器のログやアラームを集中監視できるセキュリティ統合監視システム製品(最近では、「SIM:Security Information Management」という新しい分野に分類される製品)を使って、監視センター(SOC:Security Operation Center)を作るケースが増えつつある。こうした監視システム製品には複数の機器から発生したログやアラームを関連づけて分析する相関分析(Correlation)機能を持つものが多い。

 この機能を使えば、より多くの現象の間の関連性に基づき、ワームやウイルスの侵入を検知することができる。ワームが行う脆弱性攻撃をIDSで検出させ、さらに攻撃先からのスキャンや攻撃が連鎖的に発生する状況を関連付けて、感染が成功してしまったPCのIPアドレスを監視コンソールに順次表示させるようなことも可能だ。大規模なサイトでは監視を人間のみに頼ることは難しいので、こうしたシステムの導入は未知ウイルス/ワーム対策の観点からも好ましいだろう。

 自力での導入が難しければ、このようなSIMシステムを導入してサービスを行っている業者に監視業務をアウトソースするのも一つの方法である。単純な機器監視ではなく、複数のセキュリティ機器を総合的に監視できる設備と能力を持つ業者ならば、未知ウイルス、ワームへの感染を短時間に発見するための手法についてもアドバイスが得られるはずだ。

 さて、今回は主に予防的な不正プログラム対策という観点で対策のアウトラインを見てきた。次回はこうした対策を実際に運用するにあたって行うべきことと、不幸にして感染が発生してしまった際の対応について考えてみる。

前のページへ 1|2|3|4|5       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ