Windows XP(以下、XP)のサポート終了を目前に控え、企業にはWindows 7やWindows 8といった最新OSへの移行が求められている。しかし、業務アプリケーションの対応OSの都合上、生産管理システム・在庫管理システムや分析装置・検査装置の制御端末といったXP搭載の特定用途端末を残さざるを得ないという声も多い。では、そのようなXP搭載の特定用途端末をどのようにして守ればよいのか。ここでは、「ロックダウン」というアプローチを紹介する。
2014年4月9日、XPのサポートが終了する。以降、脆弱性を修正するためのセキュリティパッチは配布されず、新たな脆弱性が見つかっても、すべて放置されることになる。
一部のセキュリティベンダーは、XPのサポート終了後もセキュリティ対策ソフトのパターンファイル更新などを継続することを表明している。だが、脆弱性がなくならない以上、防御力は、これまでより間違いなく落ちる。
例えば、パターンファイルベースのセキュリティ対策の場合、脆弱性を利用したウイルスやその亜種の発見、パターンファイルの更新が間に合わなければ、当然、感染リスクは高まる。
一方、こうしたリスクを認識しつつも、「すべてのXP端末を一気に移行させるのは無理」という声がある。工場の製造部門・購買部門にある生産管理システム・在庫管理システムや、研究/開発・品質管理部門・医療現場にある各種分析装置・検査装置の制御端末などに代表されるように、XP上でしか稼働しない業務アプリケーションがあるといった事情を抱える企業がその例だ。こうした企業は、アプリケーションの改修や設備更新などにかかる手間とコストから、しばらくはXP搭載の特定用途端末を残すという選択をせざるを得ないようだ。
では、しばらく残るXP搭載の特定用途端末をどのようにして守ればよいのか。
トレンドマイクロは、できるだけ早くWindows 7やWindows 8などの最新OSに移行するべきと前置きしつつも、どうしても残るXP搭載の特定用途端末については、インターネットから隔離する「オフライン化」とTrend Micro Safe Lock(以下、TMSL)による「ロックダウン」を組み合わせた対策を提案している。
まず、インターネットから隔離することでXP搭載の特定用途端末がウイルスに感染するリスクを低減することができる。ただし、USBメモリなどの外部記憶媒体や、同一ネットワークに接続されたほかの端末からの感染というリスクは依然として残るため注意が必要だ。
そこで、同時に行うのが「ロックダウン」だ。
ロックダウンとは「システムの特定用途化」のこと。システムの機能制限、リソース制御やアクセス制御などにより、特定の用途にのみシステムを使用できるようにすることを指す(図1)。
TMSLは、予め許可リストに登録したアプリケーション(※1)の実行を許可する仕組み(ホワイトリスト)である「アプリケーション制御機能」を備えている。例えば、業務アプリケーションAを許可リストに登録している場合、業務アプリケーションAは実行可能だが、その他のアプリケーションであるゲームBは実行できない。つまり、仮にファイルベースのウイルスがシステムに混入しても、許可リストに登録されていないため、その実行を防ぐことができる。また、パターンファイルを利用しないため、オフライン環境であっても運用性を阻害しない。
加えて、TMSLは「脆弱性攻撃対策機能」を備えている。
上述の通り、ファイルベースのウイルスはアプリケーション制御機能で実行を防ぐことができるが、脆弱性を利用して侵入するネットワークウイルスのようなものの場合、アプリケーション制御機能だけでは防ぎきれない。
それに対し、TMSLはUSB不正プログラム対策機能やネットワークウイルス対策機能を備えているため、外部記憶媒体やネットワークなどを介して行われる脆弱性を利用した攻撃によって感染するリスクを低減することができる。また、「APIフッキング」「DLLインジェクション」「メモリランダム化」といった不正実行防止機能を備えているため、実行中のプロセスに対する攻撃による不正実行リスクも低減することができる。
これらアプリケーション制御機能と脆弱性攻撃対策機能といった多層防御によって、TMSLはXP端末の「ロックダウン」を可能にし、ウイルスをはじめとした不正プログラムの侵入・実行を防止するのだ。
※1 許可リストに登録するために、事前設定が必要となる場合があります。
扱いやすさもTMSLの特徴の1つだ。
アプリケーション制御やホワイトリストと聞くと、実行を許可するアプリケーションのリストを手作業で作成しなければならないため手間がかかる、もしくは、どのアプリケーションを登録すればよいのか判断がつかないので、設定が難しいのではないかという印象を持つ人がいるかもしれない。
その点、TMSLは、システムに存在するアプリケーションを自動収集する簡易初期設定機能を備えているため、ガイダンスに従って作業を行うだけで容易に導入することができる(図2)。
また一方で、業務アプリケーションを更新する必要がある場合、更新されたアプリケーション情報を許可リストに反映させる必要があるため、許可リストの管理が煩雑になるのではないかと懸念する人もいるかもしれない。
この点についても、TMSLは業務アプリケーションの更新プログラム(以下、アップデータ)が追加・変更したアプリケーションの情報を自動収集し許可リストに登録する機能を備えているため、容易に業務アプリケーションの更新が可能だ。事前にアップデータのパスを指定しておくことで、TMSLの操作を行うことなく、アップデータが追加・変更したアプリケーションの情報を自動収集し許可リストに登録することができる、信頼するアップデータの事前指定機能も備えているため、TMSL導入前後で操作方法を大きく変更することなく業務アプリケーションの更新も可能となるのである。
繰り返すが、XP端末は速やかに最新OSに移行するのが望ましい。しかし、業務アプリケーションの都合上、どうしてもXP搭載の特定用途端末を利用する必要がある場合は、XP端末の「オフライン化」とともに、TMSLの「ロックダウン」によるセキュリティ対策を検討してほしい。
トレンドマイクロ株式会社
東京本社 〒151-0053 東京都渋谷区代々木2-1-1 新宿マインズタワー
TEL:03-5334-3601(法人お問い合わせ窓口) FAX:03-5334-3639
URL:http://www.trendmicro.co.jp/tmsl/
※2014年2月現在の情報をもとに作成されたものです。今後、価格の変更、仕様の変更、バージョンアップ等により、内容の全部もしくは一部に変更が生じる可能性があります。
※TREND MICRO、Trend Micro Portable Security、Portable Security、およびTrend Micro Safe Lockは、トレンドマイクロ株式会社の登録商標です。
※本記事に掲載されている各社の社名、製品名およびサービス名は、各社の商標または登録商標です。
※本記事は、トレンドマイクロより提供された記事を許諾を得て再構成したものです。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:トレンドマイクロ株式会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2014年3月25日