ゲートウェイとローカルマシンの ダブルブロックでウイルス対策 これまでのウイルス対策ではだめなのか？

目次 前編 ゲートウェイとローカルマシンの ダブルブロックでウイルス対策 後編 企業セキュリティの先進事例に学ぶ

　全世界を震撼させた「CodeRed」や「Nimda」などのワームやウイルスをブロックする方法は何か？

　前編の今回は、企業のウイルス対策の提案として、３つのソリューションをご紹介する。

そのままのウイルス対策で 防げますか？

　「Sircam」「CodeRed」「Nimda」……。新種のコンピュータ・ウイルスが出現するたびにその重要性が指摘されるウイルス対策。全社または一部社員にウイルス対策製品を導入している企業は9割を超えると言われている。しかし、IPA（情報処理振興事業協会）がまとめたウイルスの届出状況をみると、届出件数・実害数・実害率ともに増加傾向にある。9月の届出件数2238件のうち実害数は510件。22.8％という実害率は月間では今年最悪だ。

　実害率が高かった原因の1つは、9月18日に発見された新種ウイルス「Nimda」だ。月半ばを過ぎてから出現したウイルスだが、323件の届出があり、実害数218件、実害率67.5％という数字を残している。

　IPAは、ユーザーのセキュリティ意識の不足を懸念し、“ウイルス対策7箇条”を提示。ウイルス被害の拡大と再発防止を呼びかけている。

	IPA　ウイルス対策7箇条
	1. 最新のウイルス定義ファイルに更新しワクチンソフトを活用すること 2. メールの添付ファイルは、開く前にウイルス検査を行うこと 3. ダウンロードしたファイルは、使用する前にウイルス検査を行うこと 4. アプリケーションのセキュリティ機能を活用すること 5. セキュリティパッチをあてること 6. ウイルス感染の兆候を見逃さないこと 7. ウイルス感染被害からの復旧のためのデータのバックアップを行うこと

　これらの項目は、以前からウイルス対策の決まり文句として謳われている。しかし、ここでのポイントは、全社内のサーバやローカルマシンに対して、こうした管理・対応が徹底されていなければウイルス対策は意味をなさないということだ。さらに、最近の複数侵入経路を持つウイルスに対しては、ウイルス対策に留まらず、ネットワーク全体の脆弱点検査や最新のセキュリティ情報のチェックおよびスピーディな対応が求められている。通常のネットワーク業務の中でこれらすべてを確実に行うには、管理者に多大な負担とコストがかかることになる。

　そこで今回は、最近のウイルス対策の傾向を交えながら、NimdaやCodeRed騒動でますます重要視されるゲートウェイ対策と、常に管理者を悩ませる全ローカルマシンの更新・管理について最適なソリューションを紹介する。日本ネットワークアソシエイツのゲートウェイウイルス対策製品 McAfee WebShield e500 Applianceと、ローカルマシンとファイルサーバのウイルス対策 サービスVirusScan ASaPだ。

多様化するゲートウェイ対策のニーズを解決

　ウイルスの感染経路のトップは電子メール（海外からのメールを含む）だ。IPAへの届出をみると、今年上半期では90.7％がメール経由と報告されている。さらにインターネットインフラが多くの企業にとっての生命線として機能しているいま、もっとも効果的なウイルス対策は、企業ネットワーク内にウイルスが侵入する前に、インターネットと社内ネットワークの境界線であるゲートウェイでウイルスを検知・駆除することだ。この対策を徹底することにより、ウイルスの侵入を効率的かつ効果的に阻止し、ウイルスの攻撃による被害を未然に防ぐことが可能になる。

WebShield e500 Appliance導入イメージ

　ゲートウェイ対策の重要性を認識している企業は多いが、最適なシステムを導入し、効率的に運用している企業は少ないのではないだろうか。ソフトウェアに最適なハードウェアを選択し、セットアップを行うには専門的な知識が必要だ。適切なハードウェアが選定できなかったために、パフォーマンスが50％もダウンしていたというケースもある。

　WebShield e500 Applianceは、ハードウェアとソフトウェアの統合型ソリューションだ。初めからハードウェアにOS、アプリケーションがセットアップされた状態で提供されるのでインストール作業は不要。日本ネットワークアソシエイツからハードウェア、OS、アプリケーションが一括して提供されるため、シームレスなサポートを受けることができる。トラブル時の切り分けも不要であるうえ、問い合わせ先が１カ所で済むので、スピーディな対応が可能になる。また、緊急時にユーザー自身が製品を交換し、作業を停止するなどのロスを最小限に抑えることができるサポートメニュー（無償／有償）も数多く用意されている。アプライアンスだからこそ可能な高機能を低TCOで実現した製品だ。

WebShield e500 Appliance製品写真

　“転ばぬ先の杖”であるウイルス対策は重要だが、ネットワークのパフォーマンスの低下が企業損害に直結するいま、ゲートウェイでのウイルス対策がボトルネックになっては導入の意義が半減してしまう。その点、WebShield e500 Applianceは、１時間に10〜15万通を超える電子メールのウイルススキャン処理能力を誇る。膨大な数のノードを接続しているユーザーも安心して利用できるだろう。この高度なスループット能力は、コンテンツフィルタリングをかけた場合やWebサイトの閲覧（ページのロード）でも他社製品を圧倒するハイパフォーマンスを発揮している。

１時間の平均メールスループット数ほか

　電子メールのプロトコルであるSMTPのスキャンはもちろん重要だが、Webページを見るだけで感染するNimdaや、IISサーバに感染し、自己繁殖させるCodeRedの出現で、WebのプロトコルHTTPのスキャンにおける重要性も指摘されている。また、最近はホスティングサービスを利用している企業も多いが、その場合はPOP3でのスキャンが必要だ。こうした多様なプロトコル・サポートへのニーズは、今後ますます高まるだろう。WebShield e500 Applianceは、これらすべてのプロコトルをサポートしている。POP3は業界唯一の対応となっており、Webサイトのブラウズやファイルのダウンロード、個人のメールボックスをチェックする場合も、確実にネットワークとユーザーを保護してくれる。

　ゲートウェイでウイルス対策を行うときのメリットの1つに、コンテンツフィルタリングができるということがある。あらかじめ.exeや.vbsといった拡張子を設定し、メールの添付ファイルを検知することで、より効率的なウイルス対策を行うことも可能だ。WebShield e500 Applianceにはコンテンツフィルタリング機能が標準装備されており、電子メールの差出人、件名、本文テキスト、添付ファイル名に含まれる語句をフィルタリングし、管理者が定義した特定のメールの送受信を防止・削除できる。また、スパムメールをブロックするだけでなく、サーバがスパムメールなどの踏み台にされることを防止するアンチリレー機能も装備。企業がいつの間にか加害者になってしまうケースが多発しているいま、ネットワーク管理者にとって嬉しい機能ではないだろうか。不要不急なトラフィックの増加を防ぎ、ネットワーク帯域幅を有効活用するために、また、ジャンクメールや不適切なWebサイトのブラウズなどでビジネスの効率を低下させないために効果的な機能だ。

　ゲートウェイのセキュリティ対策では、管理面の使いやすさも重要だ。ゲートウェイの情報を常に把握し、的確かつ迅速な対応をするためには、スキャンエンジンやウイルス定義ファイルを常に最新の状態に更新する、各種ログを記録・分析する、状況に応じてコンテンツフィルタリングの定義を設定・変更するなど、求められる作業は多い。WebShield e500 Applianceでは、面倒なウイルス定義ファイルの更新は自動アップデート。ウイルスを検知・削除した場合は即座にアラートメールで通知されるので、つねに社内のウイルス状況を把握することが可能だ。また、レポート機能やログ機能も充実しており、管理者のための各種機能をサポートしている。これらはすべてWebベースのインターフェイスを採用しているので、管理者はいつでも、どこからでも多様な作業の一元的管理が可能。効率的な運用が行える。

　さらに、クライアントPCなどにMcAfee製品を使用しているユーザは、ほかのMcAfee製品とWebShield e500 Applianceを併せて、同社の統合管理製品ePolicy Orchestratorにより一元的に全社の運用管理／レポートが実現可能だ。

ログ情報表示、レポート画面 、管理画面など

全ローカルマシンの更新・管理を実現

　万全なゲートウェイ対策をしていても、すべてのウイルスをブロックすることはできない。なぜなら、CD-ROMやFDなどの外部記憶メディアや共有ファイルなどを通してローカルマシンが直接感染してしまう危険性があるからだ。また、実際にウイルスに感染するのはネットワークではなくコンピュータであるため、ウイルスを防御するには、ネットワーク内の全クライアントマシンおよび全ファイルサーバで対策を行う必要がある。しかし、いままでのローカルマシンレベルでの対策は個々のマシン（ユーザー）で作業しなければならないため、なかなか徹底できないのが実情ではないだろうか。その結果 、ウイルスに感染する企業が後を絶たない。また、ウイルス対策は、ウイルス定義ファイルを定期的に更新しなければ効果がないため、対策するための時間やコストも大きく、管理者にとって頭の痛い問題である。

　この問題を解決するために、日本ネットワークアソシエイツのMcAfeeでは、今後のウイルス対策の指針として「Managed Virus Protection」（MVP）をコンセプトに、ウイルス対策の運用管理を実現する製品・サービスを提供している。今回はこのMVPを実現するオンラインマネージメントセキュリティサービス“McAfee VirusScan ASaP”を紹介しよう。オンラインによるローカルマシンの対策の自動化を実現したこのサービスは、業界で初めてセキュリティ対策管理のアウトソーシングを可能にした。日本におけるITアウトソーシング市場の成長率はITサービス市場全体の成長率を上回っており、今後も本業ではない情報システムに関する業務をアウトソーシングする傾向はますます顕著になると言われている。しかも、ウイルス対策のプロである同社が管理するわけだから、IT担当者は安心してほかの重要な業務に全力をあげて専念することができる。

　VirusScan ASaPは、インターネットの仕組みを最大限に活用したサービスであり、サービスのインスタントな導入、ウイルス対策の24時間365日の継続的な監視、対策状況レポートの参照をすべてオンラインで完結するような仕組みになっている。

　VirusScan ASaPの最大の特徴は、ローカルマシンに常駐する「エージェント」と呼ばれるウイルス対策のソフトウェアと、サービスの核となるMcAfee ASaPデータセンターとの関係だ。同サービスはASP（Application Service Provider）であり、データセンターを中心としたウイルス対策管理体制を形成しているので、企業側で新たにウイルス対策管理専用のサーバおよびそれを管理するための人員を用意する必要がない。さらに、McAfee ASaPデータセンターが中心になることで、ウイルスの発生時も同社が誇る世界トップクラスのウイルス研究機関「AVERT」が作成する新しいウイルス定義ファイルの提供が迅速に行われ、AVERTが定めるウイルス対策ポリシーを均一に、そして漏れなく更新することが可能だ。

　VirusScan ASaPのエージェントは、「Rumor」と呼ばれる自発的で定期的な通信ルーチンを持ち、データセンターへ直接ポーリングを行うことにより、自分自身がインストールされているローカルマシンのウイルス対策状況の確認・報告および更新を行い、ウイルス感染の脅威からマシンを守る。各エージェントがデータセンターを常に見にいく「PULL型」の更新方法の採用により、複雑なネットワーク構成を持つ企業でも、インターネットの接続環境（HTTPを通す環境）さえあれば、VirusScan ASaPは各ローカルマシンのウイルス定義ファイルを迅速かつ確実に更新する。ここで活躍するエージェントは、いままでのウイルス対策ソフトの常時監視とオンディマンドスキャニング機能をそのまま継承しているにも関わらず、その容量 は約1.7MBと軽量でローカルマシンへの負担は僅かだ。

　データセンターには、エージェントごとのデータベースがあり、エージェントの能動的な働きで企業内のローカルマシンが次々と更新された結果を一元的に管理している。あとは、ウイルス対策がきちんと実施されているかどうか、IT管理者が専用Webでレポートされる各ローカルマシンのウイルス定義ファイルの更新ステータスと合わせてウイルス感染および駆除状況を確認するだけで済む。

McAfee ASaP動作イメージ

　VirusScan ASaPに採用されているRumor技術は、データセンターとローカルマシン間の通信を支援するだけでなく、ローカルマシン同士のPeer to Peer通信も可能にしたため、それぞれのローカルマシン同士が最新のウイルス定義ファイルを共有できる。このため、ネットワークソースの有効活用が可能だ。このシステムを簡単に紹介しよう。

　VirusScan ASaPが最新ファイルの有無を確認するためデータセンターへアクセス。更新ファイルがある場合、自動的にダウンロードを開始する。しかし、すべてのローカルマシンが同時に、または連続してデータセンターにアクセスしてダウンロードを実行した場合、回線への負荷は膨大なものになる。Rumor技術が威力を発揮するのはこの部分だ。更新ファイルがあり、すでに社内のPCがダウンロードしている場合、Rumor自慢のPeer To Peer機能により、そのPCからデータをダウンロードする。これにより、回線に負荷をかけることなく、稼動しているすべてのローカルマシンのアップデートが可能だ。

Rumorの利点

　ウイルス対策のプロにまかせることの安心感も魅力だ。担当者にウイルスやセキュリティの専門知識がなくてもOK。アウトソーシングのため、日々変化し増え続けるウイルス情報に対しアンテナを自主的に張る必要がない点も嬉しい。

　これらの機能のベースにある強力なスキャンエンジンは、JavaやActiveXなどの悪性コードにも対応し、世界トップレベルのウイルス検出機能を誇る。未知のウイルス検出能力にも優れ、多重圧縮ファイルのスキャンも可能。より確実なウイルス防御と駆除で、e-Businessのセキュリティ問題を迅速に解決していく。今後ウイルス対策を行うことを任されている担当者にとって、両製品とも力強い味方になってくれるだろう。また、同社が開催しているウイルス対策セミナーでは、より確実なセキュリティ対策のアドバイスや、Nimdaを防いだ導入企業の事例なども紹介されている。