| 毎週発行されているパートナーNewsより選り抜きの記事をご紹介! |
|
第十四回 『セキュリティポリシー:セキュリティ運用維持』
|
● ウィルス/不正侵入防御方式(その1)
|
■ セキュリティポリシー:セキュリティ運用維持
コンピュータウィルスとは、第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、自己伝染機能、潜伏機能、発症の一つ以上を有するものです。
近年のインターネットの急激な拡大・普及に伴い、世界中のコンピュータが1つのネットワークを介して、様々な情報の交換や、電子商取引がインターネットを利用して日常的に行われています。インターネットに接続することにより、利便性が高まる一方で、企業や個人の情報元とコンピュータが、悪意ある人からの攻撃にさらされるようになって来ています。
また、ウィルスの高度化/複雑化/多発する深刻なセキュリティホールの発見、ワーム等による自動攻撃の発生などに対処するためには、実効性の高いウィルス対策を講じる必要があります。
ウィルス/不正侵入防御方式とは、ウィルス、SPAM、アタック等の外部からの攻撃から防御する方式を規定し、企業イメージの損失回避と安全なネットワーク環境を設計することとなります。
● ウィルス
・ ウィルス感染ルートと防御方式
ウィルスは、コンピュータやネットワークに侵入して、PCやサーバ内にあるファイルを削除したり、システムを起動できなくさせます。ウィルスを防御する上で、ウィルスの種類と感染ルートを知る必要があります。ウィルスの主な種類と感染ルートについて以下に記します。
1. ブートセクタ感染型ウィルス
FDやハードディスクのブートセクタに感染するウィルス。感染ハードディスクを起動すると メモリ上に常駐し、FDへのアクセス時にFDに感染し、増殖するかなり古典的なウィルス。
近年ではほとんど見られなくなった。感染ルートは主にリムーバブル媒体。
2. ファイル感染型ウィルス
感染したファイルの実行時にウィルスの動作が行われるウィルス。感染ルートは、メール添付ファイル、リムーバブル媒体、汚染サイトアクセス、汚染PC持込等が考えられる。
3. マクロ感染型ウィルス
Microsoft社のExcelやWord等のVBAの欠陥をついたマクロ型ウィルス。感染ルートは、メール添付ファイル、リムーバブル媒体、汚染サイトアクセス、汚染PC持込等が考えられる。
4. トロイの木馬型ウィルス
実行すると、自身の複製をコピーし再起動時に実行されるようにレジストリ等を変更し、時間の経過と共に発症するウィルス。感染ルートは、メール添付ファイル、リムーバブル媒体、汚染サイトアクセス、汚染PC持込等が考えられる。
5. ネットワーク感染型ウィルス
ネットワークに接続されたマシンの脆弱性をついて、パスワードの解読、偽装やセキュリティホールを経由して侵入するウィルス。感染ルートは、汚染サイトアクセス、汚染PC持込等が考えられる。
ウィルスのまん延を防ぐには、社内ネットワークへの侵入阻止が最優先であり、ゲートウェイ型のウィルス対策ソフトが効果的です。一方、ネットワーク内部に入り込んだウィルスに感染しないように防御するのが、クライアント型のウィルス対策ソフトです。一般的にクライアント1台ごとにインストールする必要があります。
社内ネットワークをより強固に守るには、ゲートウェイ型とクライアント型の両方のウィルス対策ソフトを導入し、ウィルスを2重に防ぐ必要があります。
ゲートウェイ型とクライアント型のウィルス対策ソフトを使った、各感染ルート毎の感染防御方式として以下の対策が適当と考えます。
(1)メール添付ファイル
−ゲートウェイ型ウィルス対策ソフトを用い、受信メールの添付ファイルを常時監視し、ネットワーク内部へのウィルスの侵入を防ぐ。
(2)リムーバブル媒体
−持込み媒体については、利用時にクライアント型のウィルス対策ソフトでウィルスチェックを実施する。
(3)汚染サイトアクセス
−ウィルス対策ソフトを前段のプロキシとし、汚染サイトへのアクセス時には、リアルタイム監視によりウィルスの侵入を防ぐ。
−クライアント型のウィルス対策ソフトのリアルタイム監視によりウィルスの侵入を防ぐ。
(4)汚染PCの持込み
−個人所有PCの社内ネットワークへの接続は、原則禁止とする。
−やむを得ず、個人所有PCを社内ネットワークに接続する場合は、会社所有のPCと環境を同一とする。
−会社所有PCを、勝手に他のネットワーク接続する事を禁止する。
(5)共通防御方式
−新種ウィルスの発生に備え、ウィルス対策ソフトの最新ウィルス定義ファイルの自動更新を行う設定とします。
・ ウィルス対策ソフトの選定と運用
ウィルス防御方式で定めた規定の内容を網羅したソフトウェア(サーバ側/ゲートウェイ側/クライアント側)を選定します。
ウィルス対策の運用は、新種ウィルス感染未然防止として、以下を実施する必要があります。
−定期的にウィルス対策ソフトベンダーの、Webサイトのウィルスに関する最新情報を確認する。
−ウィルスが悪用する恐れがある、サーバ/クライアントのセキュリティホールを、あらかじめふさいでおく。
Microsoft社のIISで動作することから、プラットフォームはWindows限定となります。
これを実施する理由として以下の点があげられます。
−ウィルス対策ソフトの定義ファイルについては、ウィルスが発見されてからウィルス対策ソフトベンダーが作成するが、新種ウィルスが出回った直後は、これに対抗する定義ファイルが存在しないため
−多くのウィルスはセキュリティホールを悪用して増殖を繰り返すが、セキュリティホールをふさいでいれば、被害を受けずに済むため
新しく発見されたセキュリティホールに関する情報はOSベンダーにより公開されますが、修正ファイル(パッチ)を用意してからの公開がほとんどです。
新種ウィルス感染未然防止としては、セキュリティを扱うメーリングリスト等に参加し、セキュリティホール情報の常時収集とポートの開閉で対処します。
Microsoftの様々な製品や技術を総括し、カバー範囲が非常に広いことから、Microsoft製品とのシステム間連携をとるシステムでの開発向きです。
クライアントOSのセキュリティホールが公開された場合は、社内に注意を呼びかけセキュリティホールをふさぐ必要があります。
・ 社内ウィルス感染時の対処
社内にウィルス感染が発生した場合は、最小限の被害に抑える事と、最短で復旧させるために以下の対処を行う必要があります。
−感染マシン及び感染エリアをネットワークから切り離す。
−感染マシンに対し、最新定義ファイル更新済みのウィルス対策ソフト検査を行い、ウィルス名を特定する。
−当該ウィルスの特性・駆除方法を調査し適切な駆除をする。
−ウィルスにより、データが破壊された時は、バックアップから復旧する。
−バックアップから復旧されたマシンに対し、最新定義ファイル更新済みのウィルス対策ソフトで再度検査を行う。
−再発防止の予防策として、感染経路を特定し原因を排除する。
・ 再感染の防止と社外へのウィルス拡散防御
(1)再感染の防止
ウィルス対策ソフトで駆除されたマシンについては、ウィルスは駆除済であるが、感染時にシステムに関連した重要なファイルを改ざんされた可能性も考えられ、それがセキュリティホールもしくはバックドアとして新たな感染ルートを生み出す恐れがあります。
従って、ウィルス対策ソフトで駆除した後は、ハードディスクの初期化と再インストールを必要に応じて実施する必要があります。
(2)ウィルス拡散防御
ウィルスを社外に流出させ、ウィルス感染の加害者となってしまう危険性を回避するために、ゲートウェイ型ウィルス対策ソフトを用い、リアルタイムにウィルスの検出、駆除を行う必要があります。
|
|
|
|
