年末だからこそ見直したいセキュリティ対策：TrendMicro Presents（3/4 ページ）

[黒木直樹（トレンドマイクロ 上級セキュリティエキスパート），ITmedia]

　まずは、既に発生しているインシデントやセキュリティホールの情報を収集する必要がある。また、企業内運用ポリシーを規定し、それを社員に周知徹底させる必要がある。

　その上で、クライアントPCがネットワークに参加（接続）するたびに、そのクライアントPCに脆弱性が残されているかどうかを確認する。実際の運用は、個々の企業のポリシーにもよるだろうが、一般的にはその脆弱性が解消されるまでネットワークへの参加を拒否する。同様に企業内運用ポリシーが守られているかも調査し、違反が認められた場合は同じように処置をとる。

　ここで言う「企業内運用ポリシー」とは、ポリシーの中でも最も現実の運用に近いプロシージャの部分だ。具体的には、OSおよびWebブラウザの設定が適切であり、企業が定めるウイルス対策製品やパーソナルファイアウォールがインストールされており、そのリアルタイム検索が実行され、かつ最新のウイルス検索パターンが使用されている、といった事柄を指す。このような基準を示すことで、個人が企業内ネットワークに持ち込むPCを「検疫」することが可能になる。

　ただ、注意してほしいのは、「検疫ネットワーク」だけでは企業ネットワークを安全に運用するには不十分だという点だ。プラスαの対策、要は「ビジネスを止めない」＝「ビジネスの継続性維持」という観点も求められる。となると検疫の部分だけでなく、実際の対策、事後処理／回復までを総合的に考慮し、対処していく必要があるだろう。

ライフサイクルにまたがる包括的な対応を

　企業においてどのような予防対策を施し、大規模感染（アウトブレーク）が発生した際にはどのように対応し、ウイルスの発見／駆除（削除）を行い、不幸にも感染してしまったPCをいかにして迅速に復旧させ、ネットワークと企業活動を短時間で回復させるか――こういった要素すべてを包括的に、かつシステマティックに行えるかが、企業ITインフラの活動を左右する鍵となる。

　ここで、それぞれの要素についてもう少し細かく必要な事柄を考えてみよう（図4）。

図4●ウイルス対策にまつわる管理者の悩み

　まず予防対策では、頻繁に変更セキュリティポリシーへの対応と、クライアントPCにおけるパッチ適用およびウイルス対策の徹底、持ち込みPCなどを対象とした運用ポリシーの徹底が重要となる。先に述べた検疫の部分がこれに該当する。

　大規模感染発生のフェーズでは、「大規模感染の兆候の早期発見」と「被害の極小化、最小化」が必要だ。

　ウイルスが発症すると、おおむね共通の特徴が見られる。たとえば、ここ数年猛威を振るっているネットワークウイルスの場合、感染するとネットワークに対し大量のトラフィックを発生させる。ネットワークを監視し、通常ならば発生するはずのないトラフィックを検出することで、ウイルス感染を初期の段階で発見することができる。

　もし、不審なトラフィックを大量に発生させているクライアントPCを発見した場合には、そのPC自身、もしくは上位のネットワークを遮断する。この時点で被害を最低限に抑えるには、そのウイルスに対応したウイルス検索パターンを可能な限り早急に適用しなければならない。

　しかし先に述べたように、ウイルス対策ベンダーがウイルスを解析し、パターンファイルを作成して公開するまでには多少の時間を要する。また企業がパターンファイルを入手した後も、それをクライアントPCすべてに配信するまでにはやはり時間がかかる。ネットワーク構成や帯域にもよるが、数十分から、場合によっては数時間かかる場合もある。

　この「時間差」の問題は、ウイルスパターンファイルのサイズが大きいことにも起因する。

　そこでウイルス対策ベンダーの中には、ウイルスパターンファイルを提供する前に、そのウイルスの特徴（たとえばネットワークウイルスならばそれが狙う「ポート番号」、メール経由のウイルスであれば、「添付ファイルの名前」や「サブジェクト」など）を記述したポリシーファイルを配信している。このポリシーファイルは、ウイルスの特徴を元に作り出されるため、ウイルスパターンファイルよりも迅速に提供され、しかもサイズは非常に小さい。

　このポリシーファイルだけで、企業内に侵入したウイルスを発見／駆除（削除）することはできないが、少なくともウイルスパターンファイルを受け取るまでの間、当該ウイルスの侵入を阻止することができる。こうして侵入を食い止めておき、ウイルスパターンファイルが届いてから改めて、ウイルス発見や駆除（削除）作業を行えばよい。

　セキュリティホールが発見されてから、それを狙ったウイルスが出現するまでの時間は年々短くなる一方である。3年前に出現したNimdaウイルスの場合、セキュリティホールが発見されてからNimdaが出現するまでに336日もの時間があったのに対し、SQL Slammerでは185日、Blasterで26日、今年発生したSasserではセキュリティホールが発見されてから17日後に、その脆弱性を狙ったウイルスが出現している。こういった傾向を踏まえても、ポリシーベースの迅速な対応はますます必要となってくるだろう。

　復旧・回復の段階では、「早期に、しかも費用をかけずにシステムを復旧」することと「感染源の特定、再感染の防止」が鍵となる。

　一般にクライアントPCの復旧作業は、PC 1台ごとに対応を進めることになる。したがって、導入されたクライアントPCが多ければ多いほど、その費用と時間の負担は多大なものとなる。

　また、ウイルスの感染源が特定できなければ、企業内で再びウイルスが蔓延してしまう可能性は高い。迅速に感染源を突き止め、隔離などの手当を適切に行うことが不可欠だ。また、いったんウイルスを駆除したPCが、再度同じウイルスに感染するケースも非常に多く報告されている。これも感染源が特定できていないために起こる。

見落としがちな対策のポイント

　ネットワークウイルスへの対応は必須である。最近、大規模感染で世を賑わすウイルスのほとんどは、ネットワークウイルスに分類される。ネットワークウイルスは、従来のメール添付型やファイル共有型のウイルスとは異なり、不正なパケットを使用しPCやサーバの脆弱性を攻撃する。したがって、従来のウイルス対策製品ではリアルタイムの防御が困難だ。ネットワークウイルスに効果的に対応するには、ネットワークウイルスに特化した製品を使用する必要がある。

　そうした機器の一例が、トレンドマイクロが開発・発売している「Trend Micro Network VirusWall 1200」だ。これはその名の通り、ネットワークに特化したウイルス対策専用のハードウェアである。これを各セグメントに配置し、同梱されている「Trend Micro Control Manager 3.0 エンタープライズ」とともに使用することで、ウイルス対策／脆弱診断ポリシーによる規制、ネットワーク大規模感染監視、ネットワーク大規模感染予防、ネットワークウイルス検出と防御、ウイルス感染復旧サービスを行うことができる。

　アナログな部分になるが、いざというときに備えた緊急連絡網も必要だ。

　たいていの企業では、ExcelやWordなどで連絡網を作成しているようだ。インシデントが発生したときの対応マニュアルなども、電子データとして作成される。個人情報保護の観点から言っても、「連絡網」の情報をオフィスのデスクに堂々と張るのはあまり歓迎されないだろうし、データが更新されるたびに作成し直すのも面倒だ。その点、電子データは閲覧／検索が非常に便利である。このデータをそのまま、PCや共有サーバ上に保存することも多いだろう。

　しかし、大規模感染（アウトブレーク）が発生した場合、それ以上感染を広めないために感染PCを隔離したり、社内ネットワークを一時的に遮断することも多い。もし社内連絡網データが共有サーバ上に保存されていた場合、肝心の大規模感染時にそのデータを閲覧できないことになってしまう。

　そこで通常は、プリントアウトを複数用意し、会社用と担当者の自宅、それぞれにファイルに綴じた状態で用意しておく。会社用のファイルは鍵の掛かる書庫などに保管し、鍵のありかは各担当で共有する。外出時に対応を迫られることも少なからずあるため、必要最小限の非常用連絡先を記した名刺サイズのカードを持ち歩くのも有用だ。また、携帯電話用に、関係者共通のデータファイルを作成し、担当者のすべての携帯に登録しておくのもいいだろう。ローカルPCに、紛失時を考慮し暗号化した状態で連絡網の電子データを保存しておくのも望ましい。