1つの脅威に対して取れる対策は複数の方法があり、その中から運用に適した方法を選択すべきです。日ごろから現場と密接に連携するサポートサービスは、脅威の特性を熟知し、複数の対策案から現場にあったものを選んでもらう必要があります。本連載ではサポートエンジニアがそのノウハウを、今日使える“Tips”として解説します(編集部)
はじめまして。今回から連載を担当することになりました、飯田と申します。私が勤務するトレンドマイクロでは、安全なデジタル情報を交換できる世界の実現を目指し、さまざまな不正プログラム対策に関するソリューションを提供しています。私はスレットモニタリングセンター(Threat Monitoring Center)のシニアスレットリサーチエンジニア(Senior Threat Research Engineer)として、不正プログラムなどの検体収集と傾向分析を行い、お客さまにとって価値ある情報を提供することで、不正プログラムの対策に役立てていただく業務に従事しています。また、これらのノウハウを活用して、有償サービスの提供も行っています。
以前の部署では企業向けのサポートエンジニアとして、お客さま環境で発生したウイルスインシデントへの対応にあたり、ときにはオンサイトによる現場サポートも行っていました。お客さまとじかに接する機会も多く、企業文化や業界(業種)などにより、セキュリティ管理者の置かれている立場に違いがあることを、机上での理解ではなく、実際に自身の目で見ることで学ぶことができました。
そのような中で、お客さまに合わせたソリューション提供を心掛け、幾度となくお客さまと一緒にピンチを切り抜けてきました。本連載では、私がこれまでに培ってきた不正プログラム対策のノウハウを一部ご紹介することで、セキュリティ管理者の方々が不正プログラム対策を考える際のヒントにつながればと思います。
不正プログラム対策に限らずセキュリティ対策全般にいえることと思いますが、企業のセキュリティレベルの向上を図るうえで、1つのセキュリティ対策製品を導入すればそれで良し、というわけにはいきません。さまざまな対策を複合的に組み合わせて活用することが重要です。ウイルス対策(もしくはセキュリティ対策)とは、数学の確率論に通ずるものと私は考えています。複数の対策を多角的に組み合わせることで、ウイルス感染のリスクを減らしていく作業がまさに確率論に通じると考えるからです。
事実、多くの企業において、エンドポイントにウイルス対策製品を導入しているにもかかわらず、ゲートウェイレイヤでも同様にウイルス対策製品を導入しています。これの意味するところは、不正プログラムが社員のPCに届く前に可能な限り取り除き、最後のとりでともいえるエンドポイントでのウイルス対策製品に処理を委ねる数を減らすことで、社員が不正プログラムに感染する可能性を低減させていることだといえます。
もちろん、必ずしもすべての不正プログラムがセキュリティ対策の施されているゲートウェイを通過してくるとは限りません。特に感染経路が多岐にわたっている昨今では、エンドポイントでのウイルス対策は最も重要な対策の1つといえるでしょう。
企業で不正プログラム対策を考える際には、不正プログラム感染の可能性を低くするためにはどのような対策を講じるべきなのか、また、どのようなセキュリティポリシーを企業は策定しなければならないのかを考える必要があります。本記事では、私がこれまでに蓄積してきた不正プログラム対策のノウハウを一部ご紹介することで、セキュリティ管理者の方々が不正プログラム対策を考える際のヒントにつながればと思います。
さて、記念すべき第1回では、「リムーバブルメディアを感染媒体としてワーム活動を行うウイルス」への対策方法を取り上げたいと思います。
特にUSBメモリを感染媒体とした被害報告が多いことから、「USBワーム」や、「USBウイルス」といった名前で、その被害について報道されることが多くあります。なぜ、USBメモリを感染メディアにした被害報告が多いのでしょうか。
その理由として、USBメモリが規格のバージョンアップとともに利便性が向上し、大容量のファイルを扱えることから、その需要が年々高まっている媒体の1つとなっていることが挙げられます。2008年10月には、次期USB規格であるUSB 3.0の仕様決定というニュースも報じられ、今後も注目を集める媒体となるでしょう。また、現在ではほぼすべてのコンピュータにはUSBポートが搭載されている状況で、ほとんどの場合OSにドライバをインストールすることなくUSBメモリを利用できます。
このように、USBメモリはその利便性と手軽さから利用される場面が多く、それゆえに感染被害を拡大させている要因と考えられます。
以下の図はUSBメモリを感染媒体としてワーム活動をするウイルス「WORM_AUTORUN」ファミリのシグネチャ数の推移を示したものです。
図1をご覧いただけば分かるとおり、シグネチャ数が右肩上がりで増え続けています。これはUSBメモリを悪用してワーム活動をするウイルスが増加していることを示しています。本記事の執筆時点でもこの増加傾向は続いています。
こうしたUSBメモリを感染媒体としてワーム活動を行うウイルスですが、どのようにしてワーム活動を行うのか、そのメカニズムについてご説明しましょう。
Copyright © ITmedia, Inc. All Rights Reserved.