企業としてのウイルス対策（上）〜 防御以外に企業や組織に必要なウイルス対策機能 〜：いまさらというなかれ！　管理者のためのウイルス対策の基礎（4）

　前回はウイルスに正しく対処するためにウイルスの技術と、ウイルスを検出するためのアンチウイルスの技術について説明した。今回は、企業や組織として正しくウイルス対策を行うために、その基本となるウイルス対策ソフトウェアについて学んでいく。ここでの「ウイルス」は「ユーザーの意思にかかわらず不利益をもたらす不正なプログラム」のことを指す。

ウイルス対策ソフトウェアの基本機能

　ウイルス対策において、最も重要なものは企業も個人も同じである。それは、ウイルスの感染からコンピュータを防御するアンチウイルスの機能だ。その基本的な機能としては次のようなものが挙げられる。

■検出と活動阻止

　コンピュータをウイルスから防御するためには、なるべく早い段階でウイルスを発見することである。当たり前のことではあるが、ウイルスが起動し、感染してしまってから対処するよりも、ウイルスが起動する前に検出し、活動を阻止する方が被害は少ない。

　なるべく早い段階でウイルスを発見するために、さまざまな検出方法が用いられている。ウイルス自体を判別する手法については前回の「防御する側――アンチウイルス技術の進化」の項で説明したとおりであるが、ウイルスを検出する方法としては下記のものがある。

• 受信メールからの検出
  
  メールクライアントなどでメールを受信する段階でウイルス検出を行うのがこの機能である。
  
  現在、ウイルスの感染経路で最も多いものは受信したメールからによるものである。IPAの調査によるとメールからの感染が約96％を占めている^＊1。この調査結果からもメールを受信した段階でのウイルス検出の有効性が分かるだろう。

• 検索による検出
  
  ユーザーが指定した日時、もしくは任意のタイミングで、コンピュータに接続されているハードディスクなどの中にあるファイルをすべて検索し、ウイルス検出を行うのがこの機能である。
  
  例えば、ウイルス定義ファイルに反映される前に最新ウイルスをメールなどで受信していて検出できなかった場合でも、ウイルス定義ファイル更新後に検索することで検出できる場合がある。このようなことから、週に1度は定期的なタスクとして検索を実施することが望ましい。
  
  
• リアルタイム検出
  
  ウイルスに感染したファイルや、ウイルス自体が起動しようとした際に、ウイルスを検出し、同時に活動を阻止するのがこの機能である。
  
  ネットワーク上の共有ディスク内のウイルスや、ZIPなどによって圧縮されたファイル内のウイルスなどは、ファイルにアクセスするまでウイルスであることを検出するのは難しい。これらのウイルスを検出するために、ファイルにアクセスする瞬間に検出する手法が用いられている。この機能によって、ウイルスを起動させてしまっても、感染を未然に防ぐことができるようになる。
  
  
• 送信メールからの検出
  
  メールクライアントなどでメールを送信する段階でウイルス検出を行うのがこの機能である。
  
  不用意にウイルスに感染したファイルをほかのユーザーに送信してしまったり、ウイルス自体の機能によって自動的にメール送信されてしまうことを未然に防ぐことができるようになる。

■復旧

　ファイルがウイルスに感染してしまった後や、ウイルスに感染したファイルを受け取った際に行うのが復旧である。復旧は、ウイルスに感染してしまったファイルを感染前のオリジナルファイルの状態に戻すことである。

　この復旧はファイルに寄生（感染）するタイプのウイルス、つまり狭義の意味のウイルスにしか行うことができない。ウイルス対策ソフトウェアを使っていて、ウイルスを発見した際にファイルを復旧できなかった経験をお持ちの方もいるだろう。それは、ワームなどの場合には何かのファイルにウイルスが寄生するわけではなく、ウイルスの機能が単体で動作するプログラムなので、そもそも復旧すべきオリジナルファイルが存在しないためである。

■削除

　復旧できないウイルスに感染したファイルや、ワームやトロイの木馬のような単体プログラムで動作するウイルスに対して行うのが削除である。

　この削除を行う際には、注意しなければならないことがある。それは、OSやアプリケーションなどのシステムの動作に必要なファイルが感染していた場合である。ウイルスはさまざまなファイルに感染するのはこれまで説明したとおりであるが、もちろんシステムの動作に必須となるファイルにも感染する。もし、そのようなファイルを削除してしまった際にはシステムが起動しなくなってしまうこともある。

■移動

　復旧することができず、また削除することもできないファイルに対して行うのが移動である。移動は、ウイルスに感染してしまったファイルなどを、ユーザーやシステムが不用意に動作させてしまわないように、別のフォルダなどに移動させてしまうことである。

　この移動を行った際には、ウイルスがコンピュータ内にまだ存在していることを忘れてはならない。移動させた後には、ウイルスを削除するか、ウイルスに感染する前のオリジナルファイルを書き戻すか、重要なデータを別のコンピュータに移して復旧作業を行うなどの必要がでてくる。

　現在提供されているほとんどすべてのウイルス対策ソフトウェアにこれらの機能は搭載されているため、ベンダによる基本的な性能の差異はそれほど大きくはない。基本的な機能よりも、最新のウイルス定義ファイルをいかに早くリリースするかが、ウイルス対策ソフトウェアの優劣にかかわってくる。

　昨今流行しているウイルスは感染拡大のスピードが速いものが多く、ベンダがウイルス定義ファイルをリリースし、ユーザーのコンピュータのウイルス対策ソフトウェアに反映されるよりも早くユーザーにウイルスが到達することも多い。そのため、素早いウイルス定義ファイルのリリースがウイルス対策ソフトウェアの提供ベンダに求められている。

企業に必要なウイルス自体以外の対策機能

　ウイルス対策において、最も基本的であり必要な機能となるのがウイルス自体からの防御であるが、企業や組織にとってはそれだけでは十分ではない。数多くのコンピュータを管理する場合には、各コンピュータの状況の把握や、インストールの手間なども考慮すべき事項である。また、昨今はユーザーが危惧すべきセキュリティ危機は、不正アクセスや個人情報漏えいなどウイルスによるものだけではないため、それらにも対応することが企業や組織には求められている。

　このようなウイルス自体からの防御以外に企業や組織に必要なウイルス対策機能を説明していこう。

■集中管理

　各クライアントPCに導入したウイルス対策ソフトウェアを1つのインターフェイスで管理するのがこの機能である。

　多数のクライアントPCを管理している場合、1台1台のクライアントPCに導入しているウイルス対策ソフトウェアを個別に管理するのは非常に効率が悪い作業である。Webベースやアプリケーションベースで集中管理インターフェイスを導入することで、管理者は1つのインターフェイスで全クライアントPCのウイルス対策ソフトウェアを管理することができるようになる。

　また、集中管理にはクライアントPCの利用者にウイルス対策ソフトウェアの無効化などの不用意な操作をさせないようにするために、設定を管理者が一括で行うようにするなどの目的もある。主に集中管理は次のような機能を提供している。

• ウイルス検出状況などのリアルタイムモニタ
• ウイルス検出状況のログや統計情報
• ウイルス対策ソフトウェアの設定変更
• ウイルス対策ソフトウェアのアップデート状況の把握やアップデートの実行

■自動アップデート

　各クライアントPCに導入したウイルス対策ソフトウェアのウイルス定義ファイルを最新版にアップデートするのがこの機能である。

　自動アップデート機能自体は個人用途でも必須であるが、企業向けとしては強制的なアップデート機能や、各クライアントPCのアップデート状況なども把握できる必要がある。また、管理しているクライアントPCの台数が多い場合には、各クライアントが個別にウイルス対策ソフトウェア提供ベンダのアップデートサイトにアクセスするのではなく、社内にウイルス定義ファイルのアップデートサーバを構築し、そこからダウンロードするようにするのが望ましい。

■ログ管理

　各クライアントPCに導入したウイルス対策ソフトウェアのウイルス検出状況や感染状況、またそれらの統計情報などを集計するのがこの機能である。

　ログを収集しておくことで、各クライアントPCのウイルス対策ソフトウェアの動作状況の把握や、万が一社内にウイルスがまん延した場合のウイルスの感染源の特定などにも活用することができる。

■クライアントPCへのインストール

　各クライアントPCに簡単にウイルス対策ソフトウェアをインストールするために用意されているのがこの機能である。

　クライアントPCが社内に多数ある場合、各クライアント個別にウイルス対策ソフトウェアをインストールする作業は非常に効率が悪い。また、新規のクライアントPCを購入した場合や、OSを再インストールする度にインストール作業が必要となる。このインストール作業を簡略化することが管理コストの削減につながる。

　各ベンダから提供されている簡易インストール方法は、クライアントPCを利用するユーザーがコンピュータに詳しくない場合なども想定している。例えば、ユーザー自身に特定のURLにアクセスさせることで、ActiveXなどを用いて自動的にインストール処理を行うといったものである。

■リモート管理

　同じ社内だけではなく、支店間やデータセンタなど遠隔地にある拠点のウイルス対策ソフトウェアの状況を管理するのがこの機能である。

　各地の拠点それぞれに管理者を配置しなくても、リモート管理の機能を用いれば現地に赴くことなく、手元から遠隔地のウイルス対策ソフトウェアを管理することができる。

■統合セキュリティソフトとして

　企業としてはこれまで述べてきたようなウイルスだけではなく、何らかの不利益をもたらすものからできる限り防御したいのはいうまでもない。昨今は、ウイルス対策の機能だけではなく、クライアントPC上で起こり得る各種のセキュリティ上の危機から防御するための機能を搭載しているものが多い。そのためウイルス対策ソフトウェアではなく、統合セキュリティソフトといった呼び方をしていることもある。

　統合セキュリティソフトに搭載されている主な機能には次のようなものがある。

• パーソナルファイアウォール
  
  ネットワークを通過するパケットをフィルタリングする機能を持つのがファイアウォールであるが、個別のクライアントPCに出入りするパケットをフィルタリングするのが、この機能である。
  
  パーソナルファイアウォールによって不正アクセスやワームの侵入を未然に防いだり、クライアントPCにインストールされたアプリケーションからの不正なアクセスを検出することができる。これにより万が一感染した場合も被害を最小限にすることができる。
  
  
• 侵入検知システム（IDS：Intrusion Detection System）
  
  ネットワークからのアクセスを監視することで不正アクセスを検出するのがこの機能である。
  
  不正なアクセスがなされた際に侵入検知システムによってトラフィックを遮断したり、管理者に通知することができる。
  
  
• スパイウェア対策
  
  コンピュータユーザーの個人情報や利用動向などの情報を収集し、特定のURLやメールなどで情報を送信するのがスパイウェアである。スパイウェアはアドウェアと呼ばれることもあり、ほかのアプリケーションとセットでインストールされることが多い。このスパイウェアを検出し対処するのがこの機能である。
  
  
• 個人情報漏えい対策
  
  クライアントPCユーザー個人の個人情報漏えいを防御するのがこの機能である。
  
  あらかじめ登録しておいたパスワード文字列やクレジットカード番号などの情報が、何らかの手段でネットワークを通じて外部に送信されようとした場合に、警告を出すことで不用意な送信を防ぐことができる。
  
  
• スパムメール対策
  
  スパムメールと呼ばれる不要なダイレクトメールを判別するのがこの機能である。
  
  受信したメールの送信元や本文内の文字列などをキーワードにし、あるルールに従ってスパムメールと判別することができる。スパムメールと判別されたメールはサブジェクトに［SPAM］や［MEIWAKU］といった何らかの文字列が挿入されて、メールクライアントソフトに渡される。この文字列を自動メール振り分けのルールに加え、ゴミ箱に入れるなどの処理をすることで、スパムメールを選別する手間を省くことができる。ただし、設定によっては必要なメールまでスパムメールとして判別されてしまう恐れもあるので、この機能の利用には注意が必要である。

■使いやすいインターフェイス

　これまではウイルス対策に必要な機能を取り上げてきたが、忘れがちなのがインターフェイスの使いやすさである。ウイルス対策ソフトウェアを管理するのはコンピュータに詳しい管理者であったとしても、クライアントPCにインストールされたウイルス対策ソフトウェアを利用するユーザーがコンピュータに詳しいユーザーとは限らない。

　多くのウイルス対策ソフトウェアは、ウイルスを検出した場合に何らかのキー操作をユーザーに求めてくる。しかし、インターフェイスが専門的な用語を用いた表現や、複雑な操作が必要だとしたら、ユーザーは正しく処理を行うことができない。ウイルスに感染した重要なファイルを削除してしまったり、ウイルス定義ファイルのアップデートを行ってもらえない可能性もある。そのため、管理者に問い合わせが行き、作業が増えてしまうことになる。

　実際にウイルス対策ソフトウェアを使ってみるまでインターフェイスの使いやすさは分からないので、購入する前に試用版を導入するなどして、社員が使いこなせるものかどうかは確かめておいた方がよいだろう。

企業に必要なタイプ別ウイルス対策

　これまでユーザーのクライアントPCにインストールするクライアント型のウイルス対策ソフトウェアについて述べたが、サーバのウイルス対策やネットワーク上でのウイルス対策など、クライアント型のウイルス対策ソフトウェア以外にもさまざまなものがある。以下に代表的なものをいくつか紹介しておく。

図1 設置例
実際は、ネットワーク構成やベンダのソリューションによって異なる。

■ファイルサーバ型

　社内で文書やソースコードなどの管理を行う際には、各クライアントからネットワークを通じてファイルを共有できるファイルサーバを構築することも多い。このファイル共有を行っている場合、社内でウイルス感染が爆発的に広がる可能性が高くなる。ほとんどのユーザーがアクセスするファイルサーバは、ウイルスの倉庫となってしまうことがある。

　すべてのクライアントPCでウイルス対策ソフトウェアを導入し、ウイルス対策を行ったとしても、ファイルサーバ上にウイルスが存在すると、いつまでたっても社内からウイルスの感染源がなくなることはない。そのためにも、ファイルサーバ上でのウイルス対策が必要となってくる。そして、運用のうえでは社内に人が少ない夜間など毎日定期的にディスク内を検索することが望ましい。

　ファイルサーバ型のウイルス対策ソフトウェアは、ファイルサーバ自体に導入して利用する。クライアントPC型のものとは、必要な機能が若干異なってくるので、ファイルサーバ専用のものを使う方がよい。また、ファイルサーバ型のウイルス対策ソフトウェアはWebサーバなどのそのほかのサーバにも適用することができるものも多い。

■ゲートウェイ型

　社内で管理しているコンピュータにはクライアントPC以外にもWebサーバやメールサーバなど多数のコンピュータが存在する。1台1台のコンピュータに対してウイルス対策を行っていくことはもちろんであるが、ウイルスがコンピュータに到達する前に対処することができれば、それだけ被害を広げる確率を減らすことができる。

　ゲートウェイ型のアンチウイルスは、主にハードウェアとソフトウェアの両方のタイプで提供されている。ハードウェアの場合、ファイアウォールなどにあらかじめアンチウイルス機能が組み込まれており、ファイアウォールを通過するパケットを監視し、ウイルスを検出して対処することができる。ソフトウェアの場合、各コンピュータのネットワークが通過するポイントに、ウイルス対策ソフトウェアを組み込んだゲートウェイとなるコンピュータを設置する。

　新規にネットワークを構築したり、ネットワークを刷新するのであれば、ファイアウォールにアンチウイルス機能が組み込まれたものを利用することも選択肢に加えたい。現在利用しているファイアウォールなどをそのまま活用するのであれば、ゲートウェイを構築し、ソフトウェアタイプのゲートウェイ型アンチウイルスを利用するとよいだろう。

■NIDS（ネットワーク型IDS）

　これまで取り上げたウイルス検出の方法はウイルスプログラム自体を発見する方法だが、ネットワークを流れるパケットを調べることでウイルスを検出する方法もある。ウイルスの中にはネットワークを利用して感染を試みたり、不正アクセスを行ったりするものがある。そういったウイルスが発するパケットを調べることで、ウイルスの活動を検出することができる。

　このようなウイルスの活動は、IDSの1つ、NIDS（ネットワーク型IDS）を利用することで検出することができる。Snortなどに代表されるNIDSは、リアルタイムでネットワーク上のパケットを監視し、不審なパケットを検知するためのものである。この機能を利用し、ウイルスによる不正アクセスや不審な挙動を検知するのである。もちろん、NIDSはウイルス以外にも攻撃者による不正アクセスなども検知することができる。NIDSをほかのウイルス対策と併せて活用することで、ウイルス対策の効果を上げることができる。

水際で防ぐには、ウイルス対策ソフトウェアの導入が最適

　これまで説明してきたように各ベンダからリリースされているウイルス対策ソフトウェアには、現在のウイルス技術に対応できるだけのさまざまなアンチウイルス技術が搭載されている。ウイルスに感染しないための心得として「不審なファイルは開かない」などといった対処方法はあるが、社員全員がその心得を確実に守るだろうというもくろみは捨て去った方がよい。また、巧妙に進化しているウイルスはもはや心得程度では対応しきれないのは事実である。そのため、ウイルスの感染を水際で防ぐためには、ウイルス対策ソフトウェアを導入することが最適である。

　もちろん、単にウイルス対策製品を導入するだけではなく、企業や組織に必要なウイルス対策で取り上げたような機能を活用し、ウイルス対策ソフトウェアを適切に運用する必要がある。

　次回は、実際に社内でウイルス対策の運用に関連する実施すべきさまざまな方策や方法について解説する。