なぜ「ウイルス対策」を導入しても、被害が拡大するのか
社内ネットワーク上にあるPCやサーバーに対して、ウイルス対策が必要であるということは誰もが知るセキュリティ上の常識だ。そしてウイルス対策のなかでも有効な方法がウイルス感染の経路を断つことである。
ウイルス感染の経路は2つに分かれる。1つはOSなどの脆弱性を悪用するケース、もう1つはユーザーを誘導してウイルスの機能を備えたプログラムを起動させるケースである。これらのケースに対処するために、OSやソフトウエアを確実にアップデートする、メールで送付されたファイルは送信元が正しいことを確認してから起動したり開封したりする、といった対策は広く知られている。
しかし、一般的な対策では対応できないことがある。例えば、使用中のOSに存在する未知の脆弱性によるウイルス感染や、ソーシャルエンジニアリングなどの手段を使った誘導によるウイルスへの感染である。こういったケースから逃れることは難しく、多くの企業では、ウイルス対策製品を導入し、ウイルスに感染しないような制御やウイルスに万一感染した際の被害軽減を図っている。
ウイルス対策製品を導入していても、被害が拡大することもある。よくあるのがウイルス対策製品を導入したが、適切に運用されていないケースだ。ウイルスを検知した場合にどう対応するのかが決められていない、最新のバージョンが出ていてもアップデートしていないといった問題がある。
ウイルス対策の運用を怠った場合の代表的な脅威としては、標的型攻撃による企業情報の漏洩が挙げられる。漏洩した情報に個人情報が含まれていた場合、事件として取り扱われる可能性が高く、訴訟対応や賠償による金銭的ダメージが避けられない。報道による企業の信頼低下にもつながる。被害に遭わないためにも、ウイルス対策は企業にとって必須である。
つまり、企業システムのセキュリティ施策全体で、ウイルスがもたらす脅威に対してどのように立ち向かうかを考えておく必要がある。現在では、ネットワーク上の端末であるエンドポイント自体のウイルス対抗機能が充実してきたこと、ウイルス対策製品以外のソリューションも登場してきたことから、そもそもウイルス対策製品をどこで使うのかを含めた検討も重要だ。以下では、最新のウイルス対策製品の機能について紹介し、選択のポイントについてまとめておきたい。
最新のウイルス対策製品ができること
ウイルス対策製品の機能というと、メールなどで送られてきたファイルのチェック、あるいはファイルを外部からコピーするときのチェックが思い浮かぶかもしれない。もちろん、そういった機能は備えているが、それだけでは、ウイルス対策は終わらない。以下で最新のウイルス対策ソフトが備えている機能を確認しておこう。
・エンドポイント対策
エンドポイントとはサーバーやPC、スマートデバイスなどネットワークの末端にあたる機器を指す。これらの機器には、ウイルスの活動によって被害を受けるというリスクがある。エンドポイント対策機能とは、エンドポイント機器にウイルスが入り込むタイミングでウイルスを隔離したり、ウイルスが動作しようとするタイミングで動作を止めたりすることで、ウイルスの活動を阻止するという機能である。ちなみに、この機能は、自社開発の社内向けアプリケーションをウイルスとして検知する場合があるため、社内向けアプリケーションを検知対象から除外する、といった設定変更が必要である。
・ウイルスによる脅威の拡散防止
ウイルスは感染した機器がつながっているネットワーク内の機器に、感染を拡大しようとするものがある。ひとたび感染の拡大を許してしまうと、手が付けられない事態まで被害が広がってしまう。
そのためウイルス対策製品には、ウイルスを検知した際に自動でウイルスの実体であるファイルを隔離し感染を封じ込める、「検疫」と呼ばれる機能がある。製品によってはウイルスの検知時に自動でネットワークも遮断し、感染を未然に防ぐ機能を重視しているものもある。ウイルス検知時に表示されるアラートを見てからユーザーが対応するよりも、素早く対処できるメリットがある。
・導入済み機器の状況を監視
ウイルス対策製品が導入されている各機器に対し、ウイルス対策機能が正常に動作しているか、シグネチャやパターンファイルが最新のものに更新されているか、といったことが確認できる。この管理機能を使って各機器に対し、リモートでウイルス対策製品を確認できる製品もある。
ウイルス対策製品の選定のポイント
ウイルス対策製品はコンピュータが業務で使われるようになったころから多種多様なタイプの製品が登場している。選定のポイントはいくつかあるが、ここでは主に企業のセキュリティポリシーに合わせて製品を選定する際に、注目すべき点を解説しておこう。
・シグネチャ更新頻度:最新ウイルスへの対応度合いが分かる
製品が最新のウイルスにどれだけの時間で対応できるかを確認する目安の1つがシグネチャの更新頻度である。社会的に大きな影響が出たウイルスは、ウイルス対策製品のベンダーから製品の対応状況が公開されることが多い。公開されたタイミングと内容から、最新ウイルスへの対応状況が確認できる。
近年は人工知能を使用してウイルス検知を行う「シグネチャレス」とも呼ばれる形式のウイルス対策製品も出始めている。人工知能がその場で検知するのでシグネチャ更新を待つことなく新種のウイルスにも対応できる。こういった製品があることも覚えておきたい。
・管理機能:監査で必要なログを入手可能か?
導入後の運用を支援する管理機能も重要なポイントである。機器上でのウイルス対策製品の動作状況やシグネチャ更新状況を確認できるのはもちろんのこと、ウイルス検知ログやシグネチャ更新ログといったログの出力機能にも着目したい。製品によっては機器上のイベントログや通信ログを取得できるものもあり、万一のインシデント時に役に立つ場合がある。
これらのログは当然ではあるが、目的をもって取得することが重要である。インシデント対応時に必要なログ、セキュリティ監査で報告する際に資料として使用するログなど、必要なケースを想定し、それらの出力が可能な製品を選定したい。
・動作環境:業務で使用する機器をすべて守れるか?
業務で使用する機器にあった製品を選ぶ、という点も見落としがちだが重要である。例えばウイルス対策製品の動作によって機器の動作不良を起こす事態は避けなくてはならない。ウイルス対策製品をこれから導入する予定の機器が、ウイルス対策製品の動作条件に合致しているかどうかを確認するのはもちろん、テスト導入して業務に影響が出ないことを確認した製品を選定したい。スマートフォン、ノートパソコンなどのモバイル端末で特に発生しやすい問題なので、事前に導入予定機器のスペックは調査しておき、選定の際に確認したい。
・運用イメージ:管理上、扱いやすく、ユーザーも使いやすいか?
ウイルス対策製品に限ったことではないが、導入後どのようにして管理・運用するかを事前に想定して、そのイメージに合った製品を選びたい。ウイルスを検知した場合にどのように対応するのか、ウイルスチェックはどの程度の頻度で行うのか、シグネチャレスであればポリシーをどのように設定するのか、などの計画を立て、選定しようとしている製品で想定通りの運用が可能かチェックするのが望ましい。
そして導入するときに、どのくらいの時間がかかるか、ユーザーが実施する作業はあるか、新規に機器を追加した際の対応は容易か、ということも選定ポイントの1つになる。管理する部門にとって扱いやすく、ユーザーの業務を妨げないような製品を選定したい。
・導入・運用コスト:リスクとコストを比較して最適解を見つけよう
最後になるが、これまでの選定ポイントを確認した後に必ず導入と運用にかかるコストを試算したい。新しいシステムを導入するということは比較的大きなイベントであり、製品自体の価格もそうだが、導入と運用を実施する人員のコストも見逃せない。自社の情報資産がウイルスにより被害を受けた場合のリスクとウイルス対策製品の導入・運用コストをしっかり比較し、最適なコストパフォーマンスを発揮できる製品を選択したい。
EGセキュアソリューションズ セキュリティエンジニア
情報システム部で3年間システムの運用とリプレースを行いつつ、社内のITセキュリティを向上させる活動をしている際に、情報セキュリティ全般に興味を持ち、脆弱性診断の世界に入る。情報システム部の特性上、Windowsに触る機会が多く、社内サーバーのほとんどもWindowsだったことからWindows環境上のセキュリティに強みを持つ。より深くWindowsに詳しくなるため、Microsoft Azureへサインアップし環境構築に明け暮れている。
