2002年度版ウイルス対策最新動向 〜あなたの会社の想定被害金額は？〜

　2002年に入り、IPA（情報処理振興事業協会）、米ICSAおよび米CSI/FBIから2001年度のウイルスの被害状況を報告するレポートが発表されている。前編では、これらのデータを元に現状分析を行い、さらに今後のウイルス対策を紹介する。

2001年度は過去最悪の被害報告

　ICSAによると、PCを保有する企業において、月ごとに遭遇するウイルスの件数は2001年度でついに1000台あたり100の大台を越え、103台と報告されている（図1）。この数値は2000年度の90台に比べると、15％も上昇している。もちろんこのウイルス遭遇がすべて感染につながるという訳ではないが、それだけウイルスが社内に侵入する“機会”が多くなっていることは認識しなくてはいけない。また、この103台という数値は、Computer Economics社が2001年2月に発表した「悪性ウイルスに感染した環境における想定経済的損失」で報告されている「1000台のPCを保有する企業」の「ウイルス感染件数：1230」とほぼ同数である（103件×12カ月=1236件）。ちなみにComputer Economics社が同環境で想定しているウイルスの経済的損失は、126万5670ドル、1ドル=130円の換算レートで1億6450万円に上る。おそらく、これを読まれている方は「そんなにも……」というのが実感であろう。PC台数ごとの被害予想金額について「うちの会社の規模ではどのくらい？」と思われる読者は、関連リンクから調査報告を参照してほしい。

図1　月ごとの1000台あたりのウイルス遭遇台数

　それでは、ウイルスの感染経路はどうなっているのだろうか。調査結果を見ると、断トツに電子メール経由が多いのが分かる（図2）。ただし、ここで注目してほしいのは、「HTTP経由での感染」である。IPAの調査では数％であるのに対して、ICSAの調査では15％にもなっている。日本とアメリカの違いというのもあるだろうが、調査方法の違いに由来すると見るのが妥当だろう。つまり、IPAでは申告ベースのデータであるのに対し、ICSAでは電話ヒヤリングによる調査であるという点での違いだ。ICSAでは300社に対し、ヒヤリングを実施しているので、より“生のデータ”に近いといえるのではないだろうか。

図2　ウイルス感染経路

　このような状況で、各企業ではどのような対策を実施しているのかというのが図3の「ウイルス対策状況」だ。Clientでは日米共に90％以上の企業で対策が施されている。それにも関わらず、ウイルスの被害は悪化している（図4）。「一体なぜ？」「うちの会社のやり方ではだめなのか？」という疑問、不安が聞こえてきそうだが、この特集ではその答えを説明し、それに対する日本ネットワークアソシエイツのMcAfeeソリューションを紹介しようと思う。

図3　ウイルスの対策状況

図4　ウイルスによる損失

定期的な更新を実施するには？

　「定期的な更新」とはどういうことなのだろうか？ ウイルス対策ベンダは新種ウイルスに対抗するために、毎週定期的にウイルス定義ファイル（DAT）を更新している。ウイルス対策製品は、このDATのパターンマッチングにより、ウイルスを検出し、駆除をする。そのため、このDATを定期的に更新しないと、ウイルス対策製品本来の機能を最大限に利用できないだけでなく、ウイルスに感染してしまうことにもなりかねない。

　ウイルス対策製品のこのような仕組みは広く知られているが、なかなか定期的な更新を実施できていないのも実情であろう。日々の業務に追われるエンドユーザーに毎週毎週このルーチンを確実に実施させるのは、やはり無理があるようだ。この問題を解決するために、日本ネットワークアソシエイツのMcAfeeでは、今後のウイルス対策の指針として「Managed Virus Protection」（MVP）をコンセプトに、運用管理を実現する製品“McAfee ePolicy Orchestrator”（ePO）／サービス“McAfee VirusScan ASaP”を提供している。ePOは企業内に配備されているMcAfee製品群（クライアント対策、ファイルサーバ対策、グループウェア対策、ゲートウェイ対策）を自社で管理するための製品になる。今回は、このMVPを実現するサービスであるMcAfee VirusScan ASaPを紹介しよう。

　VirusScan ASaPは、インターネットの仕組みを最大限に活用したサービスであり、サービスのインスタントな導入、ウイルス対策の24時間365日の継続的な監視、対策状況レポートの参照をすべてオンラインで完結するような仕組みになっている。

　VirusScan ASaPの最大の特徴は、ローカルマシンに常駐する「エージェント」と呼ばれるウイルス対策のソフトウェアと、サービスの核となるMcAfee ASaPデータセンターとの関係だ。同サービスはASP（Application Service Provider）であり、データセンターを中心としたウイルス対策管理体制を形成しているので、企業側で新たにウイルス対策管理専用のサーバおよびそれを管理するための人員を用意する必要がない。さらに、McAfee ASaPデータセンターが中心になることで、ウイルスの発生時も同社が誇る世界トップクラスのウイルス研究機関「AVERT」が作成する新しいウイルス定義ファイルの提供が迅速に行われ、AVERTが定めるウイルス対策ポリシーを均一に、そして漏れなく更新することが可能だ。

　VirusScan ASaPのエージェントは、「Rumor」と呼ばれる自発的で定期的な通信ルーチンを持ち、データセンターへ直接ポーリングを行うことにより、自分自身がインストールされているローカルマシンのウイルス対策状況の確認・報告および更新を行い、ウイルス感染の脅威からマシンを守る。各エージェントがデータセンターを常に見にいく「PULL型」の更新方法の採用により、複雑なネットワーク構成を持つ企業でも、インターネットの接続環境（HTTPを通す環境）さえあれば、VirusScan ASaPは各ローカルマシンのウイルス定義ファイルを迅速かつ確実に更新する。ここで活躍するエージェントは、いままでのウイルス対策ソフトの常時監視とオンディマンドスキャニング機能をそのまま継承しているにも関わらず、その容量は約1.7MBと軽量でローカルマシンへの負担は僅かだ。

　データセンターには、エージェントごとのデータベースがあり、エージェントの能動的な働きで企業内のローカルマシンが次々と更新された結果を一元的に管理している。あとは、ウイルス対策がきちんと実施されているかどうか、IT管理者が専用Webでレポートされる各ローカルマシンのウイルス定義ファイルの更新ステータスと合わせてウイルス感染および駆除状況を確認するだけで済む。

図5　McAfee ASaP動作イメージ

　VirusScan ASaPに採用されているRumor技術は、データセンターとローカルマシン間の通信を支援するだけでなく、ローカルマシン同士のPeer to Peer通信も可能にしたため、それぞれのローカルマシン同士が最新のウイルス定義ファイルを共有できる。このため、ネットワークソースの有効活用が可能だ。このシステムを簡単に紹介しよう。

　VirusScan ASaPが最新ファイルの有無を確認するためデータセンターへアクセス。更新ファイルがある場合、自動的にダウンロードを開始する。しかし、すべてのローカルマシンが同時に、または連続してデータセンターにアクセスしてダウンロードを実行した場合、回線への負荷は膨大なものになる。Rumor技術が威力を発揮するのはこの部分だ。更新ファイルがあり、すでに社内のPCがダウンロードしている場合、Rumor自慢のPeer To Peer機能により、そのPCからデータをダウンロードする。これにより、回線に負荷をかけることなく、稼動しているすべてのローカルマシンのアップデートが可能だ。

図6　Rumorの利点

　ウイルス対策のプロにまかせることの安心感も魅力だ。担当者にウイルスやセキュリティの専門知識がなくてもOK。アウトソーシングのため、日々変化し増え続けるウイルス情報に対しアンテナを自主的に張る必要がない点も嬉しい。

　これらの機能のベースにある強力なスキャンエンジンは、JavaやActiveXなどの悪性コードにも対応し、世界トップレベルのウイルス検出機能を誇る。未知のウイルス検出能力にも優れ、多重圧縮ファイルのスキャンも可能。より確実なウイルス防御と駆除で、e-Businessのセキュリティ問題を迅速に解決していく。今後ウイルス対策を行うことを任されている担当者にとって、両製品とも力強い味方になってくれるだろう。また、同社が開催しているウイルス対策セミナーでは、より確実なセキュリティ対策のアドバイスや、Nimdaを防いだ導入企業の事例なども紹介されている。

効率的な対策を実施するには？

　前出のウイルス感染経路の調査報告（図2）にもあるように、ウイルス感染経路のトップは、インターネット（電子メールとHTTP）だ。この点を踏まえると、インターネットインフラが多くの企業にとっての生命線として機能しているいま、最も効果的なウイルス対策は、企業ネットワーク内にウイルスが浸入する前に、インターネットと社内ネットワークの境界線であるゲートウェイでウイルスを検出・駆除することだ。この対策を徹底することにより、ウイルスの侵入を効率的かつ効果的に阻止し、ウイルスの攻撃による被害を未然に防ぐことが可能になる。

図7　WebShield e500 Appliance導入イメージ

　ゲートウェイ対策の重要性を認識している企業は多いが、最適なシステムを導入し、効率的に運用している企業は少ないのではないだろうか。ソフトウェアに最適なハードウェアを選択し、セットアップを行うには専門的な知識が必要だ。適切なハードウェアが選定できなかったために、パフォーマンスが50％もダウンしていたというケースもある。

　WebShield e500 Applianceは、ハードウェアとソフトウェアの統合型ソリューションだ。初めからハードウェアにOS、アプリケーションがセットアップされた状態で提供されるのでインストール作業は不要。日本ネットワークアソシエイツからハードウェア、OS、アプリケーションが一括して提供されるため、シームレスなサポートを受けることができる。トラブル時の切り分けも不要であるうえ、問い合わせ先が1カ所で済むので、スピーディな対応が可能になる。また、緊急時にユーザー自身が製品を交換し、作業を停止するなどのロスを最小限に抑えることができるサポートメニュー（無償／有償）も数多く用意されている。アプライアンスだからこそ可能な高機能を低TCOで実現した製品だ。

図8　WebShield e500 Appliance製品写真

　“転ばぬ先の杖”であるウイルス対策は重要だが、ネットワークのパフォーマンスの低下が企業損害に直結するいま、ゲートウェイでのウイルス対策がボトルネックになっては導入の意義が半減してしまう。その点、WebShield e500 Applianceは、1時間に10〜15万通を超える電子メールのウイルススキャン処理能力を誇る。膨大な数のノードを接続しているユーザーも安心して利用できるだろう。この高度なスループット能力は、コンテンツフィルタリングをかけた場合やWebサイトの閲覧（ページのロード）でも他社製品を圧倒するハイパフォーマンスを発揮している。

図9　１時間あたりの平均メールスループットとHTTPのスループット

　電子メールの送信プロトコルであるSMTPのスキャンはもちろん重要だが、Webページを見るだけで感染するNimdaの出現により、WebのプロトコルであるHTTPのスキャンが、今後ますます重要になる。5月にリリースされるWebShield e500 Appliance Version2.5からは、プロキシ構成のほかに、トランスペアレント構成（ルータ構成）でのスキャンもサポートするようになったので、社内にプロキシサーバを持たない企業などでも容易に導入することができる（図10）。またHTTPトラフィックに関しては、遅延が許されないサービスであるため、高パフォーマンスな製品を選択しないと、さらにもう1台……と予算以上のマシンを導入しなければならなくなることもある。WebShield e500 Applianceのパフォーマンスにより、他社製品では複数台必要な企業でも、より少ない台数で導入ができるのも魅力の1つだ。さらに最近はホスティングサービスを利用している企業も多いが、その場合はPOP3でのスキャンが必要だ。WebShield e500 Applianceでは、このPOP3に対応している唯一の製品でもある。

図10　WebShield e500 Appliance Version2.5のトランスペアレント構成

　ゲートウェイでウイルス対策を行うときのメリットの1つに、コンテンツフィルタリングができるということがある。あらかじめ.exeや.vbsといった拡張子を設定し、メールの添付ファイルを検知することで、より効率的なウイルス対策を行うことも可能だ。WebShield e500 Applianceにはコンテンツフィルタリング機能が標準装備されており、電子メールの差出人、件名、本文テキスト、添付ファイル名に含まれる語句をフィルタリングし、管理者が定義した特定のメールの送受信を防止・削除できる。また、スパムメールをブロックするだけでなく、サーバがスパムメールなどの踏み台にされることを防止するアンチリレー機能も装備。企業がいつの間にか加害者になってしまうケースが多発しているいま、ネットワーク管理者にとって嬉しい機能ではないだろうか。不要不急なトラフィックの増加を防ぎ、ネットワーク帯域幅を有効活用するために、また、ジャンクメールや不適切なWebサイトのブラウズなどでビジネスの効率を低下させないために効果的な機能だ。

　ゲートウェイのセキュリティ対策では、管理面の使いやすさも重要だ。ゲートウェイの情報を常に把握し、的確かつ迅速な対応をするためには、スキャンエンジンやウイルス定義ファイルを常に最新の状態に更新する、各種ログを記録・分析する、状況に応じてコンテンツフィルタリングの定義を設定・変更するなど、求められる作業は多い。WebShield e500 Applianceでは、面倒なウイルス定義ファイルの更新は自動アップデート。ウイルスを検出・駆除した場合は即座にアラートメールで通知されるので、つねに社内のウイルス状況を把握することが可能だ。また、レポート機能やログ機能も充実しており、管理者のための各種機能をサポートしている。これらはすべてWebベースのインターフェイスを採用しているので、管理者はいつでも、どこからでも多様な作業の一元的管理が可能。効率的な運用が行える。

　さらに、クライアントPCなどにMcAfee製品を使用しているユーザーは、ほかのMcAfee製品とWebShield e500 Applianceを併せて、同社の統合管理製品ePolicy Orchestratorにより一元的に全社の運用管理／レポートが実現可能だ。

図11　ログ情報表示、レポート画面 、管理画面など

		前編 2002年度版ウイルス対策最新動向 〜あなたの会社の想定被害金額は？〜
		後編 企業セキュリティの先進的事例に学ぶ ウイルス対策のポイントは「マネジメント」 費用対効果の最大化とTCOの削減