連載：いまさらというなかれ！
　　　 管理者のためのウイルス対策の基礎

最終回 企業としてのウイルス対策（下）
〜 ウイルス対策のキモは事前準備にあり 〜

上野宣
2004/5/15

本連載では、システム管理者が知っておくべきコンピュータ・ウイルスに関する知識や、行うべきセキュリティ対策にはどのようなものがあるかということを示し、単に技術的な観点からだけではないコンピュータ・ウイルスの知識とその対策について解説します。正確な知識と対策を学ぶことで、コンピュータ･ウイルスから企業を守っていく助けとなれば幸いです。 （編集局）

---

　前回はウイルス対策の基本となるウイルス対策ソフトウェアについて説明した。今回は、企業におけるウイルス対策として何をすべきかということを、ウイルス感染時の対応手順を交えて説明していく。ここでの「ウイルス」は「ユーザーの意思にかかわらず不利益をもたらす不正なプログラム」のことを指す。

企業におけるウイルス感染時の対応手順

　ウイルス対策で最も重要となるのが、ウイルス感染時の対応である。企業内の重要な資産を守るためにも、確実に対応を行い、ウイルス感染による被害を最小限に食い止めなければならない。対応の遅れや誤りによりウイルス被害が拡大することは、企業の資産へのダメージが拡大することを意味する。ウイルス感染時の対応を確実に行うためにも、対応手順を明確にしておき、ユーザーにも周知徹底しておく必要がある。

　以下に、システム管理者向けにウイルス感染時の対応手順の一例を示しておく。ユーザーからの被害報告や、ウイルス対策ソフトウェアからの通知によって社内にウイルス感染被害が発生したことを知った事後の対応手順である。対応手順は、社内のユーザーが利用しているクライアントPCと、サービスを提供しているサーバに分けて紹介する。

【クライアントPC編】 ウイルス感染を発見したクライアントPCのユーザーにシステムの使用を中止させる。 当該PCをネットワークから切断する（物理的にLANケーブルなどを抜く）。 当該PCの動作状況やウイルス対策ソフトウェアの情報などから、ウイルスの種類、ウイルス感染状況と被害拡散状況の確認を行う。 ウイルス感染がネットワーク経由で拡散しているようであれば、社内にウイルス感染被害が発生した旨を通知し、ほかにウイルス感染ユーザーや同様の症状が発生するクライアントPCがないかどうかを確認する。ほかにも発見した場合には、1〜3の手順を行う。 安全な復旧対応手順を確立して、システムの復旧作業を行う。 ウイルス感染の原因を分析し、再発防止のための対応策を講じる。 IPA/ISECに届け出を行う。

【サーバ編】 ウイルス感染を発見したサーバの管理責任者に連絡を取り、ウイルスに感染している疑いがある旨の報告と、サーバをネットワークから切断する旨の確認を取る。 当該サーバをネットワークから切断する（物理的にLANケーブルなどを抜く）。 当該サーバの動作状況やウイルス対策ソフトウェアの情報などから、ウイルスの種類、ウイルス感染状況と被害拡散状況の確認を行う。 ウイルス感染がネットワーク経由で拡散しているようであれば、社内にウイルス感染被害が発生した旨を通知し、ほかにウイルスに感染しているサーバや同様の症状が発生するクライアントPCがないかどうかを確認する。ほかにも発見した場合には、1〜3の手順を行う。 安全な復旧対応手順を確立して、システムの復旧作業を行う。 ウイルス感染の原因を分析し、再発防止のための対応策を講じる。 社外にもサーバ利用者がいる場合には、ウイルス感染被害が発生した旨の通知と感染した際の復旧手順の案内を行う。 IPA/ISECに届け出を行う。

　ここで挙げた対応手順は一例であるので、適宜環境に合わせて読み替えていただきたい。

■安全な復旧対応手順の一例■ （Windows XPがW32/Sasserに感染した場合） [Ctrl]+[Shift]+[ESC]を押し、タスクマネージャを起動して、以下のプロセスを「プロセスの終了」ボタンにより停止する（タスクマネージャの警告が出るがそのまま実行する） 。 (1)avserve.exe (2)avserve2.exe (3)skynetave.exe (4)xxxx_up.exe または xxxxx_up.exe (xxxxは数字) 再感染と妨害を防ぐためにWindows XPの「インターネット接続ファイアウォール」機能を有効にする。 切断していたネットワークを接続し直す。 駆除ツールを下記のサイトなどから入手し実施する。 ・シマンテック http://www.symantec.com/region/jp/sarcj/data /w/w32.sasser.removal.tool.html ・トレンドマイクロ http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700 ・日本ネットワークアソシエイツ http://www.nai.com/japan/security/stinger.asp ・ソフォス http://www.sophos.com/support/cleaners/sassgui.com Microsoft社のWindows Updateを使い修正プログラム（MS04-011）を適用する。

企業におけるウイルス対策に必要な事前準備

　先にウイルス感染時の対応手順を説明したが、これを実施するためには事前準備を欠かすことができない。何の事前準備もしていなければ、感染被害を発見したユーザーはいかに対処すべきか分からないため報告してこない可能性や、対応が遅れる可能性もある。

　ウイルス感染時の対応を確実に行うためには、事前準備も確実に行っておく必要がある。必要な事項を以下に紹介していく。

• 対策窓口の設置
• 管理責任者の明確化
• コンピュータを操作できる権限の入手
• ハードウェア設置場所の管理
• バックアップ管理
• OS・ソフトウェアのバージョン管理
• アクセス権限の設定
• ユーザーの教育
• ウイルス対策ソフトウェアの導入
• セキュリティポリシーの整備

対策窓口の設置

　ユーザーがウイルス感染した場合には、担当者に必ず報告させる必要がある。それは1人のユーザーがウイルス感染したことで、ほかのユーザーや社外のコンピュータにまで感染している可能性があるため、単に一個人の問題ではなく、会社の問題として扱う必要があるからである。

　 そのためには、ウイルスに関係する事象や事件などを報告するための対策窓口を明確に設置する必要がある。「明確に」というのは、対策窓口があり、必ず報告しなければならないということを社内中のユーザーに周知徹底するということだ。

管理責任者の明確化

　感染被害が発見されたコンピュータを操作する場合、そのコンピュータの管理責任者に報告してから行動する必要がある。クライアントPCであれば、システム管理者自身が管理していることも多いが、外部にサービス提供しているサーバなどは、部署ごとに管理していることもある。システム管理者の独断でサーバを停止してしまうと、ウイルス感染による被害よりも、サービス停止により大きな損害を被る可能性もある。そのような事態にならないためにも、サーバごとの管理責任者を明確にしておき、サービスの停止を行う必要がある場合には許可を取ることができるようにしておいた方がよい。

コンピュータを操作できる権限の入手

　どのような会社組織であれ何らかの行動をするときには、一社員が勝手に行動することは許されない。常に体制に従って行動をする必要がある。ある程度の規模の組織でヒエラルキーが存在し、上長の指示に従って行動する場合もあれば、小さな組織で社長などから全権を委任され、すべて自分1人で行動しなければならない場合もある。

　例えば、あなたがウイルス感染被害の対策を行わなければならない立場だとしたら、社内中のクライアントPCやサーバなどを操作できる権限を手に入れておく必要がある。ウイルス被害が発生したという緊急事態なのに、操作できないコンピュータがあっては困るからだ。部署が異なる、もしくは上司のコンピュータであるといって、操作できないようでは困る。

　システム管理者が社内のコンピュータを操作できる権限がないなんて……、と思うかもしれない。だが、他部署で稼働していて、外部向けにサービスを提供しているサーバに対して、システム管理者の一存でサービスを停止できないことも考えられる。そのような事態にならないためにも、社内で稼働しているすべてのコンピュータを操作できる権限を明確に手に入れておく必要がある。また、administratorやrootなどの管理者権限も手に入れておいた方がよい。

ハードウェア設置場所の管理

　クライアントPCやサーバなどが雑多にしか管理されていない場合、とりわけ困るのが設置場所を把握していないという問題である。前管理者からの引き継ぎの不備でサーバ類の設置場所などが明確になっていないことはしばしば起こり得る。ウイルス対策ソフトウェアなどから警告を受け取っても、どこにそのコンピュータがあるのかが分からなければ根本的に対策を行うのは難しい。迅速に対応するためにもすべてのコンピュータの設置場所を把握しておく必要がある。また、ハードウェアの設置場所が変わることもしばしばあるので、設置場所を変更する場合には報告が必要な管理体制をしいておくとよいだろう。

バックアップ管理

　ウイルスに感染したコンピュータを復旧させる最善の方法は、ウイルス感染する以前の状態に戻すことである。そのためには、定期的なバックアップが必須である。特に重要度の高いコンピュータほどバックアップを確実に行っておくべきである。

　バックアップの対象となるのは管理対象のコンピュータによって異なってくるが、ディスクイメージ全体をバックアップしたり、必要なデータファイルのみバックアップしたりと必要に応じて対応していただきたい。この場合のバックアップはウイルス感染する以前の過去のデータの保存が目的となるので、テープなどのメディアを使用して世代管理しておくのが望ましい。それは、1世代分のバックアップデータしか存在しない場合、すでにウイルス感染しているファイルをバックアップしている可能性も考えられるからである。このことを踏まえると、バックアップデータからの復旧作業を行う際にも復旧用のデータに対してウイルスチェックを行う必要がある。

OS・ソフトウェアのバージョン管理

　感染時の入り口としてOSやソフトウェアのセキュリティホールを利用するタイプのウイルスも数多く存在する。特にインターネットに接続しているサーバにとっては、セキュリティホールの存在はウイルス感染の大きな原因となる。これはウイルスのみではなく不正アクセスに対しても同様のことがいえる。

　ほとんどのセキュリティ対策に共通していわれていることであるが、ウイルス対策に関しても同様にOSやソフトウェアのバージョンを常に最新の状態に保っておく必要がある。

アクセス権限の設定

　ここ数年のウイルスはネットワークを経由して感染を広げるものが多い。前述のようにセキュリティホールを利用してウイルス感染を広げるものもあるが、単純にネットワーク経由でファイルをコピーするというタイプのものもある。もしファイルサーバが、社員であればすべてのファイルに誰でもアクセス可能という設定であれば、ファイルサーバ経由でウイルス感染を広げてしまう可能性が高くなる。これを防ぐためには、むやみにファイル共有するのではなく、明確なアクセス権限を設定して必要な領域のみを共有することが望ましい。

ユーザーの教育

　ユーザーの教育はしばしば軽視されがちであるが、ウイルス対策においてはかなめとなるものである。教育の目的はすべてのユーザーが共通の認識を持っているという状況にすべく、ルールやモラルなどを周知徹底することである。

ウイルスに感染しないために気を付けなければいけないこととして下記の事項がある。

• 怪しいファイルを不用意に開かない
• OSやソフトウェアは最新版を利用する
• ウイルス対策ソフトウェアのウイルス定義ファイルを最新版にする

　ここに挙げたすべての項目の大部分の責任が利用者であるユーザーに依存してくる（集中管理を導入している場合には2、3番目の項目を除く）。

　例えば、「怪しいファイルを開くな」といわれる。しかし、何が怪しいファイルなのかは人によって感じ方が変わってくる主観的ないい方である。また、「怪しいファイル」を明確に定義することは難しい。そのためにも、どのようなファイルが怪しいのかといったことをユーザーには教えておかなければならない。そのためには、社内のユーザーに共通の認識を持たせるために教育を行うことが必要となってくる。

　例えば、下記のようなルールを作っておくのもよいだろう。

• 情報システム室が提供するファイル以外はすべてウイルス対策ソフトウェアによるチェックを行う
• 許可されたサイト以外からのファイルのダウンロードは不可
• 指定されたアプリケーション以外の許可なきインストールは不可

　これらのルールは会社の状況によっては適さないものもあるので、適宜自社向けに読み替えていただきたい。

ウイルス対策ソフトウェアの導入

　前回も述べたことであるが、ウイルス対策においては自力で行うより、ウイルス対策ソフトウェアを活用することが最善の策である。クライアントPCはもちろん、サーバ類などもできる限りウイルス対策ソフトウェアの監視対象に入れた方がよい。もちろん、常にウイルス定義ファイルの最新版がすべてのコンピュータに適用されている環境を作り出す必要がある。

セキュリティポリシーの整備

　セキュリティポリシーというのは、会社におけるセキュリティに関連する方針や対策を定めるもので、就業規則などと同列に位置し、基本的にはすべての従業員（および契約社員やアルバイト、関連会社など）が従うものである。前述の「企業におけるウイルス対策に必要な事前準備」の項目はすべてセキュリティポリシーに含むことができる。ここでは、セキュリティポリシーについての詳しい説明は行わないので、セキュリティポリシーの構築についてはほかの記事などを参考にしていただきたい。

　セキュリティポリシーが全く整備されていない状況から、企業に必要となるセキュリティポリシーを急にすべてそろえていくのは大変な労力が必要となるので、まずはここで紹介してきたような具体的な対策やルールから決めていくのもよいだろう。

　セキュリティポリシーやルールなどを定めていくときに、重要なことはすべてのユーザーに周知徹底していることだ。すべてのユーザーというのは従業員だけでなく役員やアルバイトなども含むということである。

【参考記事】 実践！情報セキュリティポリシー運用

ウイルス感染時の届け出について

　最後にウイルス感染時の届け出について説明しておく。法律で定められているわけではないが、ウイルス感染時には経済産業大臣が定める独立行政法人 情報処理推進機構 セキュリティセンター（IPA/ISEC）に届け出ることが望ましい。IPA/ISECでは、感染被害の拡大と再発防止に役立てるためにウイルス感染に関する情報を集めている。

　ウイルス被害はいまや社会的な問題である。自社だけがそのウイルスを発見したり、感染したりということは珍しく、世の中の大半の企業で起こっている問題と考えた方がよい。ウイルスに感染したことをマイナスイメージにとらえて隠すのではなく、ほかの企業などに警鐘を鳴らすためにも、ウイルス感染被害に遭った際にはIPA/ISECに届け出を行っていただきたい。

【IPA/ISEC】 コンピュータウイルスに関する届出について

上記のWebサイトに届け出様式があるので、記入例などを参考にして届け出を行うとよい。

◇

　全5回にわたってお届けしてきた本連載は今回で最終回とさせていただきます。読者の皆さまには得た知識を活用していただくことで、ウイルス対策をいま一度見直し、よりよい環境を築いていただけたらと思います 。ありがとうございました。

「第4回」へ

Index いまさらというなかれ！ 管理者のためのウイルス対策の基礎 最終回

企業におけるウイルス感染時の対応手順 　企業におけるウイルス対策に必要な事前準備 　ウイルス感染時の届け出について

Profile

上野 宣（うえの せん） 1975年京都生まれ。情報セキュリティを世に広げるべく、講演や執筆活動とさまざまな方面で活動中。近著に「今夜わかるTCP/IP」と「今夜わかるHTTP」（共に翔泳社から2004年12月発売）がある。

関連記事 猛威を振るうSARSウイルスに思ったこと ウイルス定義ファイルの更新でOfficeが性能低下（Windows Server Insider） ウイルス感染メール対策に大きな取り組みを（＠IT情報マネジメント）

Security&Trust記事一覧

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）