全方位的ウイルス対策のすすめ：特集 いま、ウイルス対策を再考する：運用編（4/5 ページ）

[二木真明（住商エレクトロニクス），ITmedia]

　最後に、まったく未知の不正プログラムについての対策だが、これには残念ながら決め手がない。ただ、最低限でも以下の対策を行うことで、リスクを最小限に抑えることができる。

　まず、自動感染に悪用されるおそれのある脆弱性を除去するために、対策パッチを確実に導入しておくことだ。これをユーザー任せにしておくと、確実な更新ができない可能性があるので、たとえばWindowsならばWindows Updateの自動更新機能を使うとよいだろう。ある程度の規模の組織なら、これらを集中管理できるパッチマネジメントシステムの導入も検討すべきだ（別記事参照）。

　ただ、場合によってはパッチの提供が遅れたり、情報公開前の脆弱性を突かれたりするケースも考えられるので、これらについては一般の不正侵入対策と同じ考え方で対策を講じておく。たとえば、不要なサービスを停止させたり、パーソナルファイアウォールや侵入防御システム（IPS）ソフトウェアを導入して外部からの攻撃に対して防御するといった対策だ。

　IPSにはファイル改ざんを検知、防止するような機能を持つものも多いが、これは未知のウイルス感染からシステムファイルを保護する目的にも利用できる。また、許可された以外のプログラムの起動について警告する機能は、一般ユーザーにとっては煩わしいものだが、重要な情報を管理するサーバやPCを不審なプログラムから守ってくれる。

2.ファイルサーバやグループウェアサーバでの対策

　組織内の共有ファイルサーバやファイル／データ共有が可能なグループウェアサーバでの対策は、ゲートウェイでの対策と同様の理由で推奨したい。

　先にも述べたが、ユーザーPCのウイルス対策ソフトの更新状況を均一にし続けるのは、管理システムを導入していてもなかなか難しいのが実情だ。いったん入り込んだウイルスやワームが蔓延するのを防ぐためには、それを媒介する可能性がある部分で対策を講じておく必要がある。

　考え方としては、ゲートウェイでの対策同様、まずファイルサーバ／グループウェアサーバを優先して更新を行うことで蔓延を防止する。さらに、ユーザーPC側とは異なるメーカーの製品が利用できれば、より確実な防御が可能になる。もちろん、ネットワーク経由で直接、ワームなどがサーバに感染する危険もあるため、ユーザーPCと同様に脆弱性対策や不正侵入対策を確実に行っておきたい。

3.ネットワークとしての対策

　ゲートウェイ上でのウイルス対策導入については、ユーザーPCへの感染対策で述べたが、ネットワークとしての対策の一つでもある。ファイアウォール／VPNなどにこうした機能を組み込んだ製品があるほか、別途専用ハードウェアを用意するもの、メールサーバやキャッシュサーバと連携するものなど、いくつかのパターンがある。

　ファイアウォール組み込み型は小規模な組織には便利だ。しかし、ウイルス検査のための負荷が上がると、インターネット接続のトラフィック全体に影響が出る可能性があったり、暗号通信を検査できないなどの問題もある。このため、ある程度以上の規模の組織では、ファイアウォールとは独立したウイルス対策システムを用意した方がベターだろう。

　脆弱性を攻撃するタイプのワーム活動を発見するため、侵入検知システムなどを活用することも有効だ。重要な情報を格納したサーバがあるネットワークには、IPSや、IPS機能を持つファイアウォールを導入しておくことも考えられる。これらは、万一ワームなどの侵入を許した際に威力を発揮する。

　また、一般に組織ネットワーク内では利用しないようなサービスについては、要所にあるルータやスイッチのACL（アクセスコントロールリスト）でフィルタしておくことも、未知のワーム感染に対するリスクを低下させる効果がある。ただし、これはネットワークのパフォーマンスに影響を与える可能性もある。たとえば緊急のワーム情報が出た場合に、一時的な対処策として行うといった方法もあるだろう。

　また、最近のメール感染型ウイルスは、ユーザーPCから直接メールを相手方のサーバに対して送信するものが多い。これは、組織のメールサーバにおけるウイルス対策が進み、ウイルスが自分自身を拡散するために、その組織のメールサーバを使いにくくなったためと考えられる。

　一般に、企業などでは自社のメールサーバを経由しないメール送信は不要なことが多い。したがって、こうした直接のメール送信（SMTPによる直接の外部接続）をファイアウォールなどで禁止しておくことにより、万一社内にウイルスが侵入したとしても、それを外部に拡散する危険性を少なくできる。これはまた、外部への不正なメール送信をさせないという意味で、メールによる情報漏洩対策にもつながる。まだこうした対策をとっていない組織は検討したほうがよいだろう。

　多くの組織がこのような対策をとれば、現在のような形の大量メール送信型ウイルスの感染拡大スピードをかなり低下させることができそうだ（図3）。

図3●対策を施すべきポイント

予防対策から危機管理へ

　ここまでの部分では、一般に行われている不正プログラム対策についてみてきた。

　お気づきかとは思うが、不正プログラム対策はすでに不正侵入対策をはじめとする一般のセキュリティ対策と不可分のものになっている。また、既存のウイルス対策網を未知のウイルスや新種のウイルスがすり抜ける可能性も多く、こうしたすり抜けをいかに素早く発見し、対処するかという点が、これまで以上に重視される。