ウイルス対策ソフトは、PCをスキャン中にウイルスを発見すると警告を出します。しかし、その警告を見て慌ててしまい、場当たり的に間違った対応策を取るような従業員が出てくるかもしれません。そうならないために、ウイルス感染のような有事の際にどう対応するかというルールをきちんと決めておくことが重要です(関連記事:従業員のセキュリティ教育は、どこから着手したらよい?)。
では情報システム部門やIT担当者は、ルールのなかでウイルスに感染した時にまず何をするよう規定すべきでしょうか?
最初にすべきは「物理的な」隔離
ウイルスが発見されたときにいの一番に取るべき行動は、「PCの持ち主にウイルスを駆除してもらうことではないのか?」と思った人がいるかもしれませんが、ちょっと違います。最初にするべきなのは、PCに挿してあるLANケーブルを抜くことです。
標的型攻撃で使われるものを含め、ウイルスは社内のサーバーからファイルを抜き取ったり、ほかのPCに自身を拡散させたりして被害を拡大させることがよくあります。こうした被害を最小化することが最優先です。それを最も手っ取り早く行えるのが、感染したPCからLANケーブルを抜き、ネットワークから物理的に切り離すことなのです。
念のためにお話ししておきますが、無線LAN機能を搭載したPCは注意が必要です。LANケーブルは抜いたものの、無線LANはつながったままでは物理的に隔離したことにはなりません。ウイルス感染時は、無線LAN接続も無効にするよう従業員に伝えましょう。
その次に行うべき作業は、ウイルス対策ソフトを使った感染ファイルの駆除(隔離にすることもあります)です。また駆除の前か後かは企業によってまちまちですが、「情報システム部門やIT担当者に連絡してもらう」というルールを設けるのが一般的です。
ウイルスは、駆除できないケースもあり得ます。そこで、「駆除できなかったら、情報システム部門からPCの初期化やディスクの初期化など次の対応策について指示を仰ぎ、従うこと」といったルールも作っておくとよいでしょう。
PCやディスクの初期化を行うと、そこにあるデータは失われます。そのため、情報システム部門やIT担当者が実際に初期化せざるを得ないと判断しても、「このPC上にしかないデータがたくさんあるのだから、初期化されては困る」と従業員に抵抗されるケースも出てくるはずです。バックアップがないために、こうなるのです。そのため、週次あるいは日次でPCのバックアップを取るというルールを考えてもよいでしょう。