最近ガンブラー対策関連のセミナーが各地で開催されているようですが、たいていの場合、以下のような対策が当たり前のように示されます。

  • Windows Updateを行い最新のパッチを適用しましょう
  • 使っている全てのソフトウエアのバージョンを最新に保ちましょう
  • ウイルスワクチンを最新の状態を保ちましょう

 しかしながら、これらの対策だけではガンブラーは防げません。これらは一時的に実行できたとしても、継続的かつ社員全員が実行できる内容ではないからです。その中でも、使っているソフトウエアのバージョンを最新にするというのはきわめて曖昧で実現性の低いものです。

 なぜなら、画一的な方法で、全てのソフトウエアのバージョン情報を知り、アップデートすることはできないからです。このため、ソフトウエアを常に最新のバージョンに保つよう、一般ユーザーに徹底させるのは困難なのです。そうした一般ユーザーが、いろいろなサイトにアクセスして“ガブられ”てしまうのです。

 昔からセキュリティ専門家という人種は「技術的に正しい対策」を考えて提唱しますが、コンピューター技術者ばかりではない組織においては、そうした対策が実際に行われる割合が低いことも多いのです。そのためにPDCAと称してセキュリティマネジメント担当者による教育や啓発が行われています。

 「たとえ実行されなくとも努力することが大事なのだ」という考えで通用していた時代はよかったのですが、ガンブラーが猛威を振るっている今では、その考えだけでは手に負えません。

 なぜなら、脆弱性が見つかってからセキュリティパッチが配布され始めるまでに1カ月近くかかることは珍しくなく、しかもそれからパッチが実際に適用されるまでにはある程度の時間がかかるからです。パッチが配布される前に始まるゼロデイアタックが常態化している現状や、有名サイトのホームページを見ただけで感染してしまうガンブラーの出現によって、これまでの「パッチを当てましょう」という程度の対策は、たとえれば「インフルエンザ対策に普通のマスクをしている」程度の効果しか見込めません。

 従って、本当に感染したくなかったら「インターネットは使わない」が正解なのです。それくらいインターネットを利用することは危険な行為となったのです。少なくとも業務で使っているメール、業務関連書類が保存されているWindowsパソコンからはホームページを見ないことです。たとえMicrosoft Updateの自動更新を有効にしていて、ADOBE READERやJRE(Java Runtime Environment)、Quick Timeなどを最新の状態にしていてもです。

 もしWindowsパソコンからホームページをいろいろと業務上調べる必要があるのなら、仮想環境を使うか、別の「感染用パソコン」を用意するべきでしょう。技術的に考えて、漏れては困る情報が保存されているパソコンがあるならば、「インターネット禁止」にするべきで、「パッチを当てても感染します」ということをユーザーにきちんと伝えるべきであると考えています。

 あるいは、「感染することを前提にした体制を整える」ということも選択肢です。ある程度の数の社員がいる企業では、ウイルス感染はこれまで以上に日常的になるでしょう。そうした事態が容易に想像できる現在となっては、メリハリを付けた対策を行わなければならないのです。

 あってはならないことは、「ウイルス感染に慣れてしまう」ことです。ウイルスにはいろいろな種類がありますから、個々の発見された状況に応じて適切な処置を講じる必要があります。それなのに、感染があまりにも日常的になると、対処が甘くなり、深刻なウイルスに感染した場合でも「駆除しました」で済ませてしまう可能性があります。

 ウイルスに感染した場合には、駆除だけでなく「情報漏えいの可能性」について調査、分析を行う必要があり、これにはセキュリティの専門家の経験と知識が必要となりますので、素人判断しないようにしましょう。