第7回 ウイルス・ワーム対策の常識（後編）：知ってるつもり？「セキュリティの常識」を再確認（1/4 ページ）

ウイルス対策には、侵入を防ぐという観点と、被害を最小限に抑える、という2つの観点が必要だ。後編では、ウイルス対策に必要となる各種技術について紹介する。

[宮崎輝樹（三井物産セキュアディレクション），ITmedia]

　前編では、ウイルスなどの不正プログラムについて分類し、ウイルス対策の概要を説明した。後編の今回は、ウイルス対策に必要となる各種技術について、見ていきたい。

　おさらいになるが、ウイルス対策には、（1）ウイルスなどの不正なプログラムの侵入を防ぐという観点と、（2）ウイルスなどの不正なプログラムに感染した場合に、その被害を最小限に抑える、という2つの観点が必要である。

　（1）としては、以下のような技術が存在する。

• ウイルス対策ソフト
• アンチスパイウェア
• パーソナルファイアウォール
• ファイアウォール
• IDS／IPS
• パッチ管理ソフト
• 検疫ネットワーク

　ファイアウォールとIDS／IPSに関しては、本連載において既に説明しているので、ここではそれ以外の対策について説明しよう。また、（2）のウイルスの被害を最小限に抑えるという観点では、「ワーム拡散防止アプライアンス」を紹介したい。

　それでは、それぞれの技術について見ていこう。

ウイルス対策ソフト

　ウイルス対策ソフトは、ウイルス・ワーム対策の基本である。今さら説明する必要もないであろうが、復習の意味も込めて簡単に説明しておく。このソフトは、ウイルスの検知と、検知したウイルスの駆除／無効化という2つの役割を持っている。

　ウイルスを検知する手法としては、ウイルスのコードの特徴を記したパターンファイルによるマッチングを行なう方法が主であるが、そのほかにも、パターンファイルにないウイルスを検知するため、コードを解析してウイルス特有のコードがないか確認する「ヒューリスティックスキャン」や、サンドボックスと呼ばれる隔離した環境でコードを実行し、ウイルスの動作の特徴を示しているかどうかで判断する「ダイナミックヒューリスティックスキャン」などを多くの製品が備えている。

　ウイルスが検知された場合、対策ソフトはウイルスを駆除してファイルやシステムを修復しようとする。ウイルスの駆除が行なえなかった場合は、ウイルスのファイルを隔離したり削除してウイルスの感染拡大を防ぐ。

　製品体系としては、クライアントコンピュータ上に導入するクライアント型と、ファイルサーバやグループウェアといったサーバに導入するサーバ型、社内LANとインターネットの間に設置するゲートウェイ型がある。

　クライアント型は、クライアントコンピュータ上のファイルを探査し、ウイルスに感染したファイルやワームを検知すると同時に、コンピュータのメール通信やWeb通信をリアルタイムに監視して、ウイルスやワームがコンピュータ上に送り込まれるのを防ぐ。一方、サーバ型は、ファイルサーバや、Exchange／Notesなどのグループウェアのサーバに導入し、共有ファイルやグループウェア上の添付ファイルなどを検知し駆除する。また、クライアントへパターンファイルの配布機能を持つものもある。

　最後のゲートウェイ型には、さらにメールゲートウェイとして機能するものと、ファイアウォールとして機能するものの2種類がある。メールゲートウェイ型では、ゲートウェイを通過するメールの添付ファイルをチェックし、ファイアウォール型はLANとインターネットの間で流れるSMTP／FTP／HTTPのトラフィックを監視する。

図1■アンチウイルスの概要

　クライアント型、サーバ型、ゲートウェイ型では、それぞれ役割や防御するポイントが異なるっていることが分かったと思う。これら各タイプの製品を適切に組み合わせて導入することで、さまざまな経路で侵入するウイルス・ワームに対応することができるようになる。

　また、導入するだけではなく、適切に機能するように運用することも重要である。運用で最も重要になるのは、パターンファイルの更新である。せっかく対策ソフトを導入しても、パターンファイルが古ければ、新しいウイルスやワームには対処することができず、感染してしまうことなる。

　サーバ型やゲートウェイ型はシステム管理者が集中的に管理しているため、適切に対応できるであろうが、クライアント型のパターンファイルの更新はユーザーに任されている場合も多い。しかし、たった１人のユーザーがパターンファイルを更新せずに、ウイルスやワームに感染してしまえば、業務に支障が出たり、ほかのユーザーや企業へ被害を発生させてしまう可能性もある。従って、ユーザーの善意に頼るだけではなく、システム的にパターンファイル更新を徹底する方策が必要だ。

　企業向けのクライアント型ウイルス対策ソフトには、集中管理機能でパターンファイルの更新などを管理コンソールから一括で実施できる。ただし、その場合も社外で活動することの多い営業マンのノートPCのように、更新されていないこともあるので、パターンファイルの更新状況を適切に確認する必要があるだろう。

　後に説明する検疫ネットワークを導入し、対策ソフトのパターンファイルやエンジンの古いコンピュータをこの検疫ネットワークに隔離して、アップデートを行なわない限り、社内ネットワークに接続させないことで、社内ネットワーク上のコンピュータのパターンファイルを常に最新版に保つ方法もある。

　ウイルス対策ソフトは非常に多くのベンダーから提供されているが、国内で最も多く導入されており、かつ企業向けの製品ラインナップをそろえているのは、以下の3つのベンダーの製品であろう。

• Symantec 「AntiVirusシリーズ」
• Trend Micro 「VirusBasterシリーズ」
• McAfee 「VirusScanシリーズ」

　これらベンダーは、ウイルス対策機能だけでなく、後に説明するアンチスパム機能、パーソナルファイアウォール機能、不正侵入検知機能などを備えているクライアント型製品も提供しており、クライアントコンピュータの総合的なセキュリティ対策製品となっている。

　また、Microsoftは、1月に独自のウイルス駆除ツール「Malicious Software Removal Tool」の無料提供を開始している。これは、同社が買収したGeCAD Softwareの技術を利用したものである。このツールは、BlasterやSasser、Mydoomなど被害の大きい主だったウイルスを検知・駆除するだけであり、すべてのウイルスやワームに対応するわけではない。

　そして、検知・駆除もWindows Updateを行ったとき、またはダウンロードしたツールの実行時に行なうだけで、リアルタイム検知機能などの基本的な機能も備えていない。つまり、このツールは一般ユーザーが利用しているコンピュータに対する最低限のセキュリティの底上げを図ったものであり、ウイルス対策ベンダーの製品を置き換えるものではないことを理解しておく必要があるだろう。

アンチスパイウェア