対ウイルス多層防御ガイド

第 3 章: 対ウイルス多層防御

公開日: 2004年9月7日

トピック

はじめに
マルウェアの脅威経路
マルウェアに対する防御方法
クライアント防御
サーバーの防御
ネットワーク防御層
物理的なセキュリティ
ポリシー、手順、および認識
要約

はじめに

すべての組織で、高水準の保護を実現するウイルス対策ソリューションを展開するべきですが、多くの組織で、ウイルス対策ソフトウェアをインストールした後でさえ、ウイルスに感染してしまうのが現状です。このガイドでは、悪意のあるソフトウェア、つまり "マルウェア" の問題に対処するための別の方法を提案します。**ネットワーク セキュリティ設計と同様に、マイクロソフトでは、組織が採用した保護設計の信頼性が維持されるように多層防御アプローチでウイルス対策ソリューションを設計することをお勧めします。

このようなアプローチは組織のコンピュータのセキュリティに不可欠です。というのは、コンピュータ システムがどのように多くの有益な機能やサービスを備えているとしても、残念なことに、何者かが何らかの理由により脆弱性を発見し、それを悪用しようとするためです。

さまざまな環境で Microsoft® Windows Server™ 2003、Windows® XP Professional、および Windows 2000 を実装した経験を持つコンサルタントおよびシステム エンジニアと共に作業することは、これらのオペレーティング システムを実行するクライアントおよびサーバーをマルウェアから保護するための最新のベスト プラクティスを確立する助けになります。この章では、この情報について説明します。

また、この章では組織のためのウイルス対策セキュリティ ソリューションを設計する際に多層防御アプローチの使用を支援するガイダンスも提供します。このアプローチの目標は、モデルの各層、および各層に対応する特定の脅威について理解し、対ウイルス防御を実装するときにこの情報を利用できるようにすることです。

注: マイクロソフトでは、組織の一般的なセキュリティ対策およびポリシーにこのガイダンス内の手順のいくつかを含めることをお勧めします。このガイダンスではこれらの手順の箇所を組織内のセキュリティ チームがさらに定義する必要のあるものとして明記しています。

重要: 組織が現在攻撃を受けている疑いがある場合は、この章を読む前に、このガイドの「第 4 章: 感染拡大防止と復旧」を参照してください。

既にマルウェア攻撃を受け、その被害から回復した後にこのガイドを読んでいる場合でも、ここに記載されている情報は再発を防止し、どのようにして以前の攻撃が行われたかについて理解するのに役立ちます。

ページのトップへ

マルウェアの脅威経路

マルウェアが組織を危機に陥れる手口は、いくつか存在します。これらはしばしば、"脅威経路" と呼ばれ、効果的なウイルス対策ソリューションを設計する際に最も注意を要する環境内の領域を表します。**以下に、通常の組織においてマルウェア攻撃に関する最も大きなリスクにさらされている領域を示します。

• 外部ネットワーク: 組織の直接の管理下にないネットワークはすべて、マルウェアが潜んでいる可能性があると考えてください。中でも、インターネットはマルウェアの脅威としては最大のものです。インターネットの持つ匿名性および接続性が、悪意のある者が迅速かつ効果的に攻撃目標にアクセスし、悪意のあるコードを使用して攻撃を仕掛けることを可能にしています。

• ゲスト クライアント: ビジネスにおけるラップトップ デバイスおよびモバイル デバイスの使用が拡大を続ける中、デバイスが他の組織のインフラストラクチャに出入りすることが日常化しています。ゲスト クライアントが効果的な対ウイルス防御を機能させていない場合、そのクライアントは組織にとってマルウェアの脅威となります。

• 実行可能ファイル: 実行可能なコードはすべてマルウェアとして動作する可能性があります。実行可能なコードにはプログラム以外にも、スクリプト、バッチ ファイル、および Microsoft ActiveX® コントロールのようなアクティブ オブジェクトがあります。

• ドキュメント: ワード プロセッサやスプレッドシートは、それらがより強力になるにつれ、マルウェア作成者の攻撃目標になってきています。多くのアプリケーションでマクロ言語がサポートされているため、これらがマルウェアの攻撃目標になる可能性が生まれました。

• 電子メール: マルウェア作成者は、電子メールの添付ファイル、および電子メール メッセージ内のアクティブな HTML (Hypertext Markup Language) コードの両方を攻撃に利用します。

• リムーバブル メディア: 何らかのリムーバブル メディアを使用したファイル転送は、対ウイルス防御の一環として組織が解決する必要のある問題です。より一般的なリムーバブル メディアには以下があります。

  • CD-ROM または DVD-ROM ディスク: 安価な CD および DVD の記録デバイスの登場によって、すべてのコンピュータ ユーザーがこれらの機器を手軽に利用できるようになりました。マルウェア作成者もその 1 人です。

  • フロッピー ドライブと Zip ドライブ: これらのメディアはその限られた能力と速度が原因であまり一般的ではなくなりましたが、マルウェアが物理的にそれらにアクセスできる場合にはリスクであることに変わりありません。

  • USB ドライブ: これらのデバイスには、昔ながらのキーホルダ サイズのデバイスから腕時計までさまざまな形態があります。これらのデバイスはすべて、ホストの USB (Universal Serial Bus) ポートに挿入された場合、マルウェアを導入するために悪用される可能性があります。

  • メモリ カード: デジタル カメラ、および PDA や携帯電話などのモバイル デバイスのおかげで、デジタル メモリ カードの存在は定着しました。カード リーダーはますますコンピュータの標準デバイスとしての地位を確立しており、カード リーダーによってメモリ カード上のデータの転送は容易になっています。このデータはファイルベースであるため、これらのカードを使用してホスト システム上にマルウェアを転送することも可能です。

ページのトップへ

マルウェアに対する防御方法

マルウェアに対する効果的な防御の編成を試みる前に、組織のインフラストラクチャにおいてリスクにさらされているさまざまな箇所と、各箇所でのリスクの程度について理解する必要があります。ウイルス対策ソリューションの設計を開始する前に、徹底したセキュリティ リスク評価を実施することを強くお勧めします。ソリューション設計を最適化するのに必要な情報は、セキュリティ リスク評価を十分に実行することによってのみ得ることができます。

セキュリティ リスク評価の実施に関する情報とガイダンスについては、次の URL にある「マイクロソフト の Securing Windows 2000 Server ソリューション」ガイドを参照してください。 https://www.microsoft.com/japan/technet/security/prodtech/win2000/secwin2k/** このガイドにはセキュリティ リスク管理の統制 (SRMD) についての入門的な内容が記載されているため、組織でリスクにさらされているものについて理解するのに役立ちます。

多層防御セキュリティ モデル

組織が直面しているリスクを見つけて文書化した後は、ウイルス対策ソリューションを装備するのに使用するいくつかの防御について検討、整理します。多層防御セキュリティ モデルは、このプロセスに最適な開始点です。このモデルでは、セキュリティ防御を 7 つのレベルに区分し、組織のセキュリティを脅かす試みに堅牢な防御のセットで対処します。各セットには、多くの異なるレベルにおいて攻撃をかわす機能があります。多層防御セキュリティ モデルについて十分に理解するために、次の URL にある Microsoft TechNet の「セキュリティ コンテンツの概要」ページを確認することをお勧めします。

また、次の URL にある TechNet の「Reference Architecture Kit」 (英語) でも詳細情報および実践的な設計例を参照できます。 https://www.microsoft.com/resources/documentation/msa/edc/all/solution/en-us/rak/default.mspx

次の図は、多層防御セキュリティ モデルで定義されている層を示しています。

図 3.1 多層防御セキュリティ モデルの層

図の層は、ネットワークのセキュリティ防御の設計時に考慮する必要のある環境内の各領域を表しています。

各層の定義の詳細は、組織のセキュリティ ポリシーおよび要件に基づいて変更できます。以下の簡単な定義はモデルの層を定義するものです。これを示すことはこのガイダンスの目的でもあります。

• データ: データ層のリスクは、攻撃者が構成データ、組織データ、または組織が使用するデバイス固有のデータにアクセスするために悪用する可能性のある潜在的な脆弱性に起因します。たとえば、社外秘の業務データ、ユーザー データ、顧客のプライベート情報などはすべてこの層の一部と考えられます。モデルのこの層における組織の第一の懸案事項は、データの損失または盗難から起きる業務上および法的な問題と、脆弱性が原因でホスト層またはアプリケーション層で表面化する運用上の問題です。

• アプリケーション: アプリケーション層のリスクは、攻撃者が実行中のアプリケーションにアクセスするために悪用する可能性のある潜在的な脆弱性に起因します。マルウェア作成者がパッケージ化できるオペレーティング システム以外のすべての実行可能ファイルは、システムの攻撃に使用される可能性があります。この層における組織の第一の懸案事項は、アプリケーションを構成するバイナリ ファイルへのアクセス、アプリケーションのデータ受信サービスの脆弱性を介したホストへのアクセス、またはシステムから特定データを不適切に収集して自身の目的に使用する何者かに渡す行為です。

• ホスト: この層は通常、マルウェアの脅威を解決するために Service Pack および修正プログラムの提供ベンダが対象とする層です。この層のリスクは、ホストまたはデバイスが提供するサービスにおける脆弱性を悪用する攻撃者に起因します。攻撃者はこれらの脆弱性をさまざまな方法で利用して、システムを攻撃します。バッファが保持できる量以上のデータを追加した結果発生するバッファ オーバーランは、この良い例です。この層における組織の第一の懸案事項は、オペレーティング システムを構成するバイナリ ファイルへのアクセス、およびオペレーティング システムのデータ受信サービスの脆弱性を介したホストへのアクセスを防ぐことです。

• 内部ネットワーク: 組織の内部ネットワークにおけるリスクは、この種類のネットワークを介して伝送される機密データに大きく関係しています。これらのネットワーク上のクライアント ワークステーションに関する接続性要件も、いくつかの点でリスクに関連します。

• 境界ネットワーク: 境界ネットワーク層 (DMZ、非武装地帯、またはスクリーン サブネットとも呼ばれる) に関連するリスクは、攻撃者がワイド エリア ネットワーク (WAN) およびそれらが接続するネットワーク層にアクセスすることで生じます。モデルのこの層における第一のリスクは、ネットワークが使用する、利用可能な TCP (Transmission Control Protocol) ポートと UDP (User Datagram Protocol) ポートに集中しています。

• 物理的なセキュリティ: 物理層におけるリスクは、攻撃者が物理的な資産に対して物理的にアクセスできるようになることに起因します。この層は上述の層をすべて含みます。資産への物理的なアクセスは、多層防御モデルのその他のすべての層へのアクセスの許可につながるためです。ウイルス対策をとるシステムを使用する組織にとって、モデルのこの層における第一の懸案事項は、感染したファイルが境界ネットワークおよび内部ネットワークの防御を迂回して侵入するのを防ぐことです。攻撃者は、USB ディスク装置などの物理的なリムーバブル メディアを使用して、ホスト コンピュータにファイルを単に直接コピーするだけで、これを実行する可能性があります。

• ポリシー、手順、および認識: セキュリティ モデルのすべての層を取り囲むのは、組織が各レベルでの要件を満たし、サポートするために導入する必要のあるポリシーと手順です。最後に、自組織内の認識を関連するすべての組織に浸透させることが重要です。ほとんどの場合で、リスクに関する意識の低さがセキュリティ侵害につながる可能性があります。このことから、教育もすべてのセキュリティ モデルにおいて不可欠なものと言えます。

モデルの複数のセキュリティ層を対ウイルス多層防御アプローチの基礎として使用すると、問題を捕らえる視点を再調整でき、それらをグループ化することによって組織における対ウイルス防御に最適化することが可能になります。この最適化が組織でどのように行われるのかについては、組織での優先事項および使用する防御アプリケーションに完全に依存します。重要なのは、不完全で弱いウイルス対策設計になるのを避けるために、どのセキュリティ層も防御から除外しないことです。次の図は、対ウイルス多層防御をより詳細に捕らえたものです。

図 3.2 より詳細な対ウイルス多層防御

データ、アプリケーション、およびホストの各層を結合して、組織のクライアントおよびサーバーを保護する 2 つの防御戦略にします。これらの防御は多くの共通する戦略を共有しますが、クライアント防御とサーバー防御の実装における相違はそれぞれに固有の防御アプローチを確実にするためには十分なものです。

内部ネットワークと境界の各層も、関連するテクノロジが両方の層で同一であるため、共通のネットワーク防御戦略に結合できます。組織のインフラストラクチャ内でのデバイスおよびテクノロジの占める位置によっては、実装の詳細は各層で異なるものになります。

ページのトップへ

クライアント防御

マルウェアがホスト コンピュータに到達した場合、防御システムはホスト システムとそのデータの保護、および感染の拡散の阻止に集中する必要があります。これらの防御は環境内の物理的な防御およびネットワーク防御に劣らず重要です。ホスト防御の設計は、マルウェアが上述のすべての層を通過していることが確認されたという仮定に基づいて行うことが望まれます。これは最高レベルの保護を達成するための最良のアプローチです。

クライアントにおける対ウイルス保護の手順

いくつかのアプローチおよびテクノロジをクライアントの対ウイルス構成に使用できます。以降の詳細説明は、マイクロソフトが検討項目として推奨するものです。

ステップ 1: 攻撃される可能性のある箇所を削減する

アプリケーション層における防御で最初に行うことは、コンピュータ上で攻撃される可能性のある箇所をなくすことです。不要なアプリケーションまたはサービスをすべてコンピュータ上から削除するか無効にして、攻撃者がシステムを悪用するのに使用できる箇所を最小限にします。

Windows XP Professional サービス用の既定の設定は、次の URL の Microsoft.com にある「Windows XP Professional Product Documentation」 (英語) の「Default settings for services」ページで入手できます。 https://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sys_srv_default_settings.mspx

攻撃される可能性のある箇所を必要なシステムの機能に影響を与えないように可能な限り取り除いたら、この層で使用する第一の防御手段はウイルス対策スキャナです。このスキャナの主要な役割は攻撃を検出および阻止し、それをユーザーまたは組織のシステム管理者に通知することです。

ステップ 2: セキュリティ更新プログラムを適用する

組織のネットワークに接続される可能性のあるクライアント マシンの純粋な数と多様性は、迅速で信頼できるセキュリティ更新プログラム管理サービスの供給を困難にします。マイクロソフトおよびその他のソフトウェア会社は、この問題への取り組みを支援する多くのツールを開発しています。以下の修正プログラム管理ツールおよびセキュリティ更新ツールは、現在マイクロソフトから入手できます。

• Windows Update: Windows Update サービスは、小規模の組織または個人向けに、Windows プラットフォーム用の最新のセキュリティ修正と機能修正を検出およびダウンロードするために、手動および自動でのプロセスを両方提供します。この方法を利用する場合の組織にとっての問題点は、このサービスからの更新の展開に先立つテストのサポートがないことと、同一パッケージのダウンロードが同時に行われるときに組織内でクライアントが消費する可能性のあるネットワーク帯域幅の量です。このサービスの使用に関する情報は、次の URL の Windows Update ホーム ページで入手できます。 www.windowsupdate.com

• Software Update Services: このサービスは、企業内の Windows クライアント向けにセキュリティ更新ソリューションを提供することを目的にしています。このサービスは、内部テストとセキュリティ更新プログラムの分散管理を可能することで、大規模な企業向けに Windows Update の 2 つの欠点を解決しています。このサービスを使用した組織向けのソリューションの開発に関する情報は、次の URL にある Microsoft.com の「Software Update Service」ホーム ページで入手できます。 https://www.microsoft.com/japan/windowsserversystem/sus/

• Systems Management Server 2003: Microsoft Systems Management Server 2003 は、包括的なセキュリティ更新サービスを含むいくつかの機能を提供できる完全なエンタープライズ管理ソリューションです。このソリューションの詳細については、次の URL にある Microsoft.com の「Systems Management Server」ホーム ページを参照してください。 https://www.microsoft.com/japan/smserver/default.asp

マイクロソフトが提供しているこれらのセキュリティ更新ツールにはそれぞれ、長所および目的があります。それらを 1 つ以上使用することが最良の方法と考えられます。組織のためにセキュリティ更新ソリューションを評価する際の参考として、次の URL にある Microsoft.com の「Choosing a Security Update Management Solution」 (英語) ページの機能比較を参照してください。 https://www.microsoft.com/windowsserversystem/sus/suschoosing.mspx

ステップ 3: ホストベースのファイアウォールを有効にする

ホストベースまたは個人向けのファイアウォールは、クライアント防御において有効にすることが推奨されている重要な層です。特に、組織の通常の物理的な防御およびネットワーク防御の外部に持ち出す可能性のあるラップトップでは重要です。これらのファイアウォールは特定のホスト コンピュータに対するデータの入出力の試みをフィルタリングします。

Windows XP には ICF (インターネット接続ファイアウォール) と呼ばれる簡単な個人向けファイアウォールが付属しています。ICF を有効にすると、ICF を通過するすべての通信が監視されます。ICF は扱うデータ パケットの発信元アドレスと送信先アドレスも検査し、許可された通信だけが確立されるようにします。ICF の詳細については、Windows XP のヘルプ システムを参照してください。

Windows XP Service Pack 2 によって、いくつかの重要な強化とセキュリティに関する改良点が ICF (現在は "Windows ファイアウォール" と呼ばれている) に適用されます。**Service Pack は、製品のリリース以後に内部で発覚した不具合のために作成された修正プログラム、セキュリティ更新プログラム、重要な更新プログラム、および更新プログラムすべてを組み合わせたテスト済みの累積セットです。Service Pack はユーザーから要望のあった一定数のデザイン変更や機能を含む場合もあります。Windows XP 用のこの更新プログラムの詳細については、次の URL にある Microsoft TechNet の「Windows XP Service Pack 2」を参照してください。 https://technet.microsoft.com/windows/bb264768

Windows XP より前のバージョンの Windows には、組み込みのファイアウォールは付属していません。以前のバージョンの Windows 上にファイアウォール サービスを提供するとともに Windows XP クライアント上のファイアウォール サービスを強化するためにインストール可能なサードパーティ製のホストベースのファイアウォール ソリューションが市販されています。これらのファイアウォール製品の詳細については、次の URL にある「Microsoft Protect Your PC」Web サイトの「ファイアウォールについて知る」ページを参照してください。 https://www.microsoft.com/japan/athome/security/protect/firewall.mspx

ステップ 4: ウイルス対策ソフトウェアをインストールする

多くの企業がウイルス対策ソフトウェアを開発しています。それらはすべてエンド ユーザーが感じる不便さ、およびエンド ユーザーとの対話を極力少なくしながらホスト コンピュータを保護しようとしています。これらのアプリケーションの多くは、この保護機能を提供するという点で非常に有効なものになってきていますが、これらはすべて、新しいマルウェアに対応するために頻繁な更新を必要とします。ウイルス対策ソリューションはすべて、新しいマルウェアまたはその亜種の対応に必要な "ウイルス定義ファイル" の更新を可能な限り早期に配布するために、迅速でシームレスなメカニズムを提供することが望まれます。**ウイルス定義ファイルには、ウイルス対策プログラムがスキャン中にマルウェアの検出に使用する情報が含まれています。ウイルス定義ファイルはウイルス対策ソフトウェアのベンダによって定期的に更新され、クライアントのコンピュータにダウンロードされるように設計されています。

注: このような更新はそれ自身がセキュリティ リスクとなります。これは、ウイルス定義ファイルはウイルス対策ソフトウェアのサポート サイトから、通常はインターネットを介してホスト アプリケーションに送信されるためです。たとえば、ファイルの入手のための転送メカニズムに FTP (File Transfer Protocol) を使用する場合、組織の境界ファイアウォールではインターネット上の必要な FTP サーバーへのこの種類のアクセスを許可する必要があります。対ウイルス リスク評価の過程で、組織で使用する更新メカニズムをレビューし、組織のセキュリティ要件を満たすのに十分なセキュリティ保護が実施されていることを確認してください。

マルウェアのパターンおよび技術の変化は急速なため、特定の "ハイリスク" なユーザーに対しては同一のコンピュータ上で複数のウイルス対策パッケージを実行するように要求し、マルウェアの検出漏れリスクの削減を推奨するアプローチを採用する組織もあります。以下のユーザー タイプが通常、このカテゴリに属します。

• Webmaster またはインターネット上およびイントラネット上のコンテンツの管理者

• リリース研究室の作業員または CD-ROM などの電子メディアの生産者

• 圧縮ファイルまたはその他のソフトウェア製品の作成またはコンパイルを担当する開発チームのメンバ

いくつかの異なるアプリケーション ベンダから提供されているウイルス対策ソフトウェアを同一コンピュータ上で実行する場合、ウイルス対策ソフトウェア間の相互作用が原因で問題が発生することがあります。環境内で同時に複数のウイルス対策ソフトウェアを実行する場合に発生し得るシステム上の問題には、以下があります。

• メモリ オーバーヘッド: ウイルス対策ソフトウェアの多くがメモリに常駐するアクティブ エージェントを使用しているため、使用可能なシステム メモリの量が減少します。

• システム クラッシュまたは停止エラー: このようなクラッシュおよびエラーは、ウイルス対策ソフトウェアが同一のファイルに対するスキャンを同時に試行した場合に発生する可能性があります。

• パフォーマンスの低下: ウイルス対策ソフトウェアがファイルをスキャンして悪意のあるコードを検査している間、システムのパフォーマンスが低下する可能性があります。複数のアプリケーションが使用される場合、スキャンは繰り返し実行されるため、システムのパフォーマンスは許容できないレベルまで低下する可能性があります。

• システム アクセスの損失: 同時にウイルス対策ソフトウェアの実行を試みた場合、起動時にシステムが停止する可能性があります。この問題は、Microsoft Windows NT および Windows 9x などの古いバージョンの Windows で頻繁に発生しています。**

これらの理由から、同一コンピュータ上で複数のウイルス対策ソフトウェアを使用するアプローチは推奨されません。可能であれば避けてください。

別のアプローチとして、組織内のクライアント、サーバー、およびネットワークの防御のためにそれぞれ異なるベンダのウイルス対策ソフトウェアを使用することを検討してください。このアプローチは、インフラストラクチャのこれらのさまざまな領域に対して、それぞれ異なるスキャン エンジンを使用した一貫したスキャンを提供します。ある 1 つのベンダの製品が攻撃の検出に失敗した場合の対ウイルス保護全体のリスクは軽減されます。

ウイルス対策ソフトウェアのベンダの詳細については、次の URL にある Microsoft.com の「ウイルス対策ソフトウェア パートナー」を参照してください。 https://www.microsoft.com/japan/security/guidance/partners/default.mspx

Windows XP 用に設計されたウイルス対策ソフトウェアの詳細については、次の URL にある Microsoft.com の「Windows カタログ」ページを参照してください。https://go.microsoft.com/fwlink/?LinkId=28506

ステップ 5: 脆弱性スキャナを使用してテストする

システムを構成した後は、定期的に検査し、セキュリティの弱点が残っていないかどうかを確認します。このプロセスを支援するために、スキャナとして動作することでマルウェアおよびハッカーが悪用を試みる可能性のある弱点を探すアプリケーションがいくつかあります。これらのツールのうちの優れたものは、最新の弱点からシステムを防御するために自身のスキャン ルーチンを更新します。

Microsoft Baseline Security Analyzer (MBSA) は脆弱性スキャナの 1 つの例で、一般的なセキュリティ構成の問題を検査する機能があります。このスキャナは、ホストが最新のセキュリティ更新プログラムで構成されているかどうかも確認します。

この無料の構成ツールの情報については、次の URL で、TechNet 「Microsoft Baseline Security Analyzer V1.2」ページを参照してください。https://www.microsoft.com/japan/technet/security/tools/mbsahome.mspx

ステップ 6: 最小権限のポリシーを使用する

クライアント防御において見落としてはいけない領域は、通常の運用でユーザーに割り当てられている権限です。可能な限り少ない権限を提供するポリシーを採用して、実行時にユーザーの権限を利用することに依存しているマルウェアからの影響を極力抑えることを推奨します。このようなポリシーは、ローカル管理者権限を持つユーザーに対して特に重要です。日常の運用ではこのような権限を与えずに、必要な場合には RunAs コマンドを使用して管理ツールを起動することを検討してください。

たとえば、管理者権限が必要なアプリケーションのインストールを行うユーザーは、コマンド プロンプトで次のセットアップ コマンドを実行し、適切な権限でセットアップ プログラムを起動できます。

また、次の手順を実行することで、エクスプローラからも直接この機能にアクセスできます。

管理者権限でプログラムを実行するには

1. エクスプローラで、開く対象のプログラムまたはツール (Microsoft 管理コンソール (MMC) スナップイン、コントロール パネルなど) を選択します。

2. プログラムまたはツールを右クリックして、[別のユーザーとして実行] を選択します。

   注: [別のユーザーとして実行] がオプションとして表示されない場合は、Shift キーを押しながらツールを右クリックします。

3. [別のユーザーとして実行] ダイアログ ボックスで、[次のユーザーとしてプログラムを実行する] を選択します。

4. [ユーザー名] および [パスワード] ボックスで、使用する管理者アカウントのユーザー名とパスワードを入力します。

ステップ 7: 承認されていないアプリケーションを制限する

Microsoft Instant Messenger および Web サービスのように、ネットワークにサービスを提供しているアプリケーションは、理論上、マルウェアの攻撃目標となる可能性があります。ウイルス対策ソリューションの一部として、組織用に承認されたアプリケーションの一覧を作成することも検討してください。どのクライアント コンピュータに対しても、承認されていないアプリケーションをインストールするという試みは、それらのコンピュータおよびそれらに含まれるデータをマルウェア攻撃の高いリスクにさらすことになります。

承認されていないアプリケーションを組織で制限する場合には、Windows のグループ ポリシーを使用することで、ユーザーによる承認されていないアプリケーションの実行を制限できます。グループ ポリシーの使用方法については既に広範囲に文書化されています。詳細については、次の URL にある Microsoft.com の「Windows Server 2003 グループポリシー」を参照してください。 https://www.microsoft.com/japan/windowsserver2003/technologies/management/grouppolicy/

この機能を扱うグループ ポリシーの特定の領域はソフトウェア制限ポリシーと呼ばれ、標準のグループ ポリシー MMC スナップインを介してアクセスできます。次の図はグループ ポリシー MMC の画面で、コンピュータとユーザーの両方についてソフトウェア制限ポリシーを設定できるパスを示しています。

図 3.3 グループ ポリシー MMC スナップイン内のソフトウェア制限ポリシー フォルダへのパス

Windows XP クライアントからこのスナップインに直接アクセスするには、次の手順を実行します。

1. [スタート] ボタンをクリックし、次に [ファイル名を指定して実行] をクリックします。

2. 「secpol.msc」と入力し、[OK] をクリックします。

すべての可能な設定に関する詳細説明は、このガイドの対象範囲外です。Windows XP Professional オペレーティング システムが備えるこの強力な機能の使用に関しては、次の URL にある TechNet の記事「Using Software Restriction Policies to Protect Against Unauthorized Software」 (英語) に、手順を追った説明があります。 https://technet.microsoft.com/library/bb457006

警告: グループ ポリシーは非常に強力なテクノロジで、実装を成功させるためには慎重な構成と深い理解が必要です。ポリシー設定について確実に理解した上で、運用システム以外のシステムでの設定のテストが完了するまで、これらの設定を直接変更しないでください。

クライアント アプリケーションのウイルス対策設定

以降では、マルウェアが攻撃目標とする可能性のある特定のクライアント アプリケーションについて、構成のガイドラインを示します。

電子メール クライアント

マルウェアがネットワークおよび電子メール サーバー レベルの対ウイルス防御を通過してきた場合に備えて、電子メール クライアントに追加の保護機能を提供するために構成可能な設定がいくつかあります。

一般的に、マルウェアをクライアント上に拡散させるために利用される主なものの 1 つは、ユーザーが電子メール メッセージから直接、電子メールの添付ファイルを開くことを可能にする機能です。可能であれば、組織の電子メール システムでこの機能を制限することを検討してください。これが不可能な場合でも、電子メール クライアントによっては、ユーザーがある追加手順を実行することで初めて添付ファイルを開くことができるように構成することが可能です。たとえば、Microsoft Outlook® および Outlook Express では以下のことを行えます。

• Internet Explorer のセキュリティ ゾーンを使用して、HTML 電子メール メッセージ内のアクティブ コンテンツを無効にする。

• ある設定を有効にすることで、ユーザーがテキスト形式の電子メール メッセージだけを表示できるようにする。

• 特定のユーザーの承認なしには、プログラムが電子メール メッセージを送信できないようにする。

• 安全でない電子メール メッセージの添付ファイルをブロックする。

これらの機能を構成する方法の詳細については、次の URL にあるマイクロソフト サポート技術情報の記事 291387、「[OLEXP] Outlook Express 6 のウイルス防止機能を使用する方法」を参照してください。 https://support.microsoft.com/KB/291387

Microsoft Outlook 2003 にはその他にも、マルウェアおよび迷惑 (スパム) 電子メール メッセージから保護するための機能があります。これらの機能の構成の詳細については、次の URL にある Microsoft.com の「ウイルス感染防止のための Outlook 2003 カスタマイズ」ページを参照してください。 https://www.microsoft.com/japan/office/ork/2003/three/ch12/

デスクトップ アプリケーション

デスクトップ オフィス アプリケーションが強力になるに従い、これらもマルウェアの攻撃対象となってきています。マクロ ウイルスは、ワード プロセッサ、スプレッドシート、またはマクロ機能を備えるその他のアプリケーションによって作成されたファイルを使用して、自身を複製します。

これらのファイルを扱うすべてのアプリケーション上で最も適切なセキュリティ設定が有効になるように、環境内の可能なすべての箇所で対策を講じてください。Microsoft Office 2003 アプリケーションのセキュリティ保護の詳細については、次の URL にある「Best practices for protection from viruses」 (英語) のページを参照してください。 https://go.microsoft.com/fwlink/?LinkId=28509

インスタント メッセージング アプリケーション

インスタント メッセージングの普及は、世界をまたいだユーザーの通信の向上に役立ちました。しかし不幸にも、システムへのマルウェアの侵入を許す可能性のあるアプリケーションを 1 つ増やす結果にもなりました。テキスト メッセージは直接のマルウェアの脅威にはなりませんが、ほとんどのインスタント メッセンジャ クライアントは、それ以外にもファイル転送機能を備えることでユーザーの通信の能力を強化しています。ファイル転送を許可することは、組織のネットワークへの直接の経路をマルウェア攻撃が使用できるように用意する結果となります。

ネットワーク ファイアウォールでは、単純にファイル転送用のポートをフィルタリングすることによって、これらのファイル転送をブロックできます。たとえば、Microsoft Windows と MSN® Messenger クライアントは、6891 から 6900 までの TCP ポートをファイル転送に使用します。したがって、境界ファイアウォールでこれらのポートをブロックすれば、インスタント メッセンジャを介したファイル転送は実行できなくなります。しかし、モバイル クライアント コンピュータが保護されるのは、それが組織のネットワーク上にある場合だけです。このことから、これらのポートをブロックし、組織内のモバイル クライアントがネットワーク防御の外側にある場合にそれらに対する保護を提供するためには、クライアント上でホストベースのファイアウォールを構成することをお勧めします。

その他の必須のアプリケーションがポートを使用している、またはファイル転送が必要であるなどの理由で、組織でそれらのポートをブロックできない場合は、転送前のすべてのファイルに対してマルウェアに関するスキャンを実行してください。クライアント ワークステーションがリアルタイムのウイルス対策スキャナを使用していない場合は、転送されたファイルを自動的にウイルス対策ソフトウェアに渡すようにインスタント メッセージング アプリケーションを構成し、ファイルの受信後に直ちにスキャンを行うようにしてください。たとえば、転送されたファイルを自動的にスキャンするように MSN Messenger を構成できます。このセキュリティ機能を有効にする方法を次に示します。

注: Windows XP 付属の Windows Messenger アプリケーションはこの機能をサポートしていません。このアプリケーションに対してはリアルタイムのウイルス対策スキャナを使用してください。

MSN Messenger によって転送されたファイルをスキャンするには

1. MSN Messenger のメイン ウィンドウで、[ツール] メニューの [オプション] をクリックします。

2. [メッセージ] タブをクリックします。

3. [ファイルの送信] 領域の [次のプログラムを使ってファイルをスキャンする] チェック ボックスをオンにします。

4. [参照] をクリックして、ウイルス対策ソフトウェアを選択し、[OK] をクリックします。

   注: 使用する正しい実行可能ファイル、およびここで指定するコマンド パラメータを特定するために、ウイルス対策ソフトウェアのベンダから別途情報を入手する必要がある場合があります。

これらの手順を完了すると、ウイルス対策ソフトウェアはクライアント上で MSN Messenger を介して受信したすべてのファイルを自動的にスキャンするようになります。

注: 使用するウイルス対策スキャン ツールによっては、さらなるセットアップ手順が必要になる場合があります。詳細については、使用するウイルス対策スキャン ツールの使用に関する指示を参照してください。

Web ブラウザ

インターネットからコードをダウンロードして実行する前に、それが既知の信頼できるソースからのものであることを確認できるようにする必要があります。Web ページおよびアドレスは偽ることができるので、ユーザーはサイトの外観やアドレスを信用するべきではありません。

Web ブラウザ アプリケーションによる Web サイトの信頼性の判定を支援するために開発された技術およびテクノロジがいくつか存在します。たとえば、Microsoft Internet Explorer は Microsoft Authenticode® テクノロジを使用して、ダウンロードされたコードの身元を確認します。Authenticode テクノロジは、コードに有効な証明書が付属していること、ソフトウェアの公開元の身元が証明書と一致すること、および証明書がまだ有効であることを検証します。これらのテストに合格した場合、攻撃者が悪意のあるコードをシステムに転送する可能性は減少します。

主要な Web ブラウザの多くは、Web サーバーから実行されるコードが利用できる自動アクセスを制限する機能をサポートしています。Internet Explorer はセキュリティ ゾーンを使用して、Web コンテンツが損害を与える可能性のある操作をクライアント上で実行するのを制限します。セキュリティ ゾーンは Web コンテンツの場所 (ゾーン) に基づいています。

たとえば、組織のイントラネット内にあるダウンロード対象物がすべて安全であると確信できる場合は、クライアントのローカル イントラネット ゾーンに対するセキュリティ設定を低レベルに設定して、ユーザーにイントラネットからのコンテンツのダウンロードをほとんど、またはまったく制限なしに許可します。しかし、ダウンロードのソースがインターネットまたは制限付きサイトの場合は、クライアントのセキュリティ設定を中レベルまたは高レベルに設定することをお勧めします。このように設定すると、クライアントのブラウザは、ダウンロードの前にユーザーにコンテンツの証明書に関する情報を表示して確認を要求するか、ユーザーにダウンロードさせないようになります。

Internet Explorer のセキュリティ関連の事項の詳細については、次の URL にある Microsoft.com の「Internet Explorer セキュリティ センター」のページを参照してください。 https://www.microsoft.com/japan/technet/security/prodtech/ie/default.mspx

ピア ツー ピア アプリケーション

インターネット規模のピア ツー ピア (P2P) アプリケーションの登場は、ファイルの検索および他の人との交換をかつてないほど容易にしました。不幸なことに、この状況はこれらのアプリケーションを使用してファイルを他のユーザーのコンピュータに複製するマルウェア攻撃を多く発生させる結果となりました。W32.HLLW.Sanker のようなワームは、Kazaa のような P2P アプリケーションを複製目的で標的にしています。これ以外にも Morpheus や Grokster など、他のピア ツー ピア アプリケーションの使用を試みる多くのマルウェアがあります。

P2P アプリケーションを中心とするセキュリティの問題は、クライアント プログラム自身とはほとんど関係ありません。これらの問題が深く関係するのは、これらのアプリケーションが、適切なセキュリティ チェックなしに別のコンピュータへのコンテンツの伝送を可能にする直接の経路を提供できることです。

可能であれば、これらのアプリケーションを使用するクライアントの数を組織で制限することをお勧めします。この章で説明した Windows ソフトウェア制限ポリシーをユーザーによるピア ツー ピア アプリケーションの使用を阻止するのに使用できます。環境でこれが不可能な場合は、これらのアプリケーションが原因で環境内のクライアントがさらされている高いリスクをウイルス対策ポリシーで対処してください。

ページのトップへ

サーバーの防御

環境内のサーバーの防御は、クライアントの防御と多くの点で共通しています。両者とも同一の基本的なパーソナル コンピュータ環境の保護を試みます。両者間の主な相違は、サーバーの防御には通常、信頼性とパフォーマンスに関して、より高いレベルが期待されるという点にあります。さらに、組織のインフラストラクチャ内で多くのサーバーが担う専門的な役割は、多くの場合、特化した防御ソリューションの導入を促します。以下では、サーバーの防御と、前に説明したクライアントの防御との間の主要な相違点に重点を置きます。

サーバーの対ウイルス保護の手順

サーバーのウイルス対策の構成は、サーバーの役割、およびサーバーが提供するサービスによって大きく異なります。攻撃される可能性のあるサーバーの箇所を極力少なくすることは、しばしば "強化" と呼ばれます。**組織内で Windows Server 2003 を典型的な各役割で使用する場合には、強化に関する優れたガイダンスが提供されています。このトピックの詳細については、次の URL にある Microsoft.com の「サーバーのセキュリティ」のページを参照してください。 https://www.microsoft.com/japan/security/guidance/topics/ServerSecurity.mspx

組織内のサーバーを防御する基本的なウイルス対策の手順のうちの 4 つは、クライアントの防御の場合と同一です。

1. 攻撃される可能性のある箇所の削減: 不要なサービスとアプリケーションをサーバーから削除して、攻撃される可能性のある箇所を極力少なくします。

2. セキュリティ更新プログラムの適用: 可能であれば、すべてのサーバー コンピュータで最新のセキュリティ更新プログラムを適用するようにしてください。必要に応じてテストを追加実行し、新しい更新が基幹サーバーに対して悪影響を与えていないことを確認してください。

3. ホストベースのファイアウォールを有効にする: Windows Server 2003 にはホストベースのファイアウォールが付属しています。このファイアウォールを使用して、サーバー上から攻撃される可能性のある箇所を削減し、不要なサービスとアプリケーションを削除できます。

4. 脆弱性スキャナを使用したテスト: MBSA を Windows Server 2003 上で使用して、サーバーの構成内に潜在する脆弱性を識別します。マイクロソフトでは、構成を可能な限り堅牢にするために、このスキャナおよびその他の特化した脆弱性スキャナを使用することをお勧めします。

これらの共通のウイルス対策の手順に加えて、以下のサーバー固有のソフトウェアをサーバーの対ウイルス保護の一部として使用することを検討してください。

一般的なサーバー用ウイルス対策ソフトウェア

クライアント環境 (たとえば Windows XP) 用に設計されたウイルス対策ソフトウェアとサーバー環境 (たとえば Windows Server 2003) 用に設計されたものとの主要な相違点は、サーバーベースのスキャナと、メッセージング サービスやデータベース サービスなどのサーバーベースのサービスとの統合のレベルです。また、サーバーベースのウイルス対策ソフトウェアの多くはリモート管理機能を提供することで、サーバー コンソールへの物理的なアクセスの必要性を最小限に抑えます。

サーバー環境用のウイルス対策ソフトウェアを評価する際に考慮する必要のあるその他の重要な事項を以下に示します。

• スキャン中の CPU 使用率: サーバー環境において、CPU 使用率はサーバーが組織のためにその主要な役割を実行する能力を示す重要な要素の 1 つです。

• アプリケーションの信頼性: 重要なデータ センター サーバー上のシステム クラッシュは単一のワークステーション上のクラッシュに比べて影響は多大です。したがって、マイクロソフトでは、システムの信頼性を確実なものにするために、サーバーベースのウイルス対策ソフトウェアをひととおりテストすることをお勧めします。

• 管理上の負荷: ウイルス対策ソフトウェアの持つ自己管理能力は、組織のサーバー管理チームの管理上の負荷を軽減するうえで役立ちます。

• アプリケーションの相互作用: ウイルス対策ソフトウェアのテストを運用サーバー上で実行されるのと同一のサーバーベースのサービスおよびアプリケーションを使用して行い、相互作用の問題がないことを確認してください。

Windows Server 2003 上での動作が保証されているウイルス対策ソフトウェアの一覧については、次の URL にある「Windows Server Catalog」の「Business Solutions, Security」 (英語) のページを参照してください。 https://www.windowsservercatalog.com/

役割固有のウイルス対策構成およびソフトウェア

現在では、エンタープライズにおいて特定の役割を持つサーバー用に、その役割に特化した多くのウイルス対策構成、ツール、およびアプリケーションを入手できます。この種類の特化した対ウイルス防御から恩恵を受けることができるサーバーの役割の例を以下に示します。

• Web サーバー: Microsoft インターネット インフォメーション サービス (IIS) など。

• メッセージング サーバー: Microsoft Exchange 2003 など。

• データベース サーバー: Microsoft SQL Server 2000 を実行するサーバーなど。

• コラボレーション サーバー: Microsoft Windows SharePoint™ Services、および Microsoft Office SharePoint Portal Server™ 2003 を実行するサーバーなど。

アプリケーション固有のウイルス対策ソリューションは通常、より強力な保護とパフォーマンスを提供します。これらは、サービスの下でファイル システム レベルで機能するのではなく、特定のサービスと連携するように設計されているためです。ここで説明するサーバーの役割はすべて、ファイル システム レベルで機能するウイルス対策スキャナではアクセスできない情報を扱います。また、これらの各サーバーの役割、およびこれらの役割と共に特定のウイルス対策構成、ツール、およびアプリケーションを使用するためにマイクロソフトが推奨する方法についての情報も提供されています。

Web サーバー

どのような組織においても、ときに Web サーバーは、セキュリティ攻撃の標的となってきました。攻撃が CodeRed のようなマルウェアによるものか、または組織の Web サイトを書き換えようとするハッカーによるものかにかかわらず、Web サーバー上のセキュリティ設定が、これらの攻撃に対する防御を最大限に高めるように十分に構成されていることが重要です。マイクロソフトは、ネットワーク上の IIS を実行するサーバーの保護を担当するシステム管理者向けにガイダンスを作成しています。次の URL にある Microsoft.com の「Windows Server 2003 セキュリティ ガイド」の「第 8 章 - IIS サーバーのセキュリティ強化」を参照してください。 https://technet.microsoft.com/library/cc163129**

このガイダンスに加え、IIS 上の多数のセキュリティ構成を自動的に実行する、ダウンロード可能な無料ツールがいくつかあります。たとえば、IIS Lockdown ツールは次の URL の Microsoft.com で入手できます。 https://www.microsoft.com/japan/technet/security/tools/locktool.mspx

このツールは、サーバーの役割に必要なサービスだけを提供するように Web サーバーをチューニングして、マルウェアから攻撃される可能性のある箇所をサーバー上から減らすのに使用できます。

UrlScan はもう 1 つのセキュリティ ツールで、IIS が処理する HTTP 要求の種類を制限します。UrlScan は有害な要求がサーバーに到達するのを阻止するために、特定の HTTP 要求をブロックします。現在は、IIS 4.0 以降を実行するサーバー上に UrlScan 2.5 を問題なくインストールできます。UrlScan の詳細については、次の URL にある Microsoft.com の「URLScan セキュリティ ツール」のページを参照してください。 https://www.microsoft.com/japan/technet/security/tools/urlscan.mspx

メッセージング サーバー

組織内の電子メール サーバー用に効果的なウイルス対策ソリューションを設計する場合、留意する必要のある 2 つの目標があります。最初の目標は、サーバー自身をマルウェアから保護することです。次の目標は、マルウェアが組織内の電子メール システムを通過してユーザーのメールボックスに到達するのを阻止することです。電子メール サーバー上にインストールするウイルス対策ソリューションで、この 2 つの目標を達成できるようにすることが重要です。

一般に、標準的なファイル スキャンによるウイルス対策ソリューションでは、電子メール サーバーがマルウェアを添付ファイルとしてクライアントに渡すのを阻止することはできません。非常に単純なものを除いて、電子メール サービスはすべて、電子メール メッセージを何らかの形のデータベース ("メッセージ ストア" とも呼ばれる) に格納します。**通常のファイル スキャンによるウイルス対策ソリューションでは、このようなデータベースのコンテンツにはアクセスできません。実際、ファイル スキャンによるウイルス対策ソリューションは、ドライブ マッピング (たとえば、Exchange Server 5.5 および Exchange Server 2000 上の M ドライブ) を介したスキャンの試行を許可された場合に、メッセージ ストアを破壊する可能性があります。

使用する電子メール ソリューションにウイルス対策ソリューションが適合していることが重要です。現在、多くのウイルス対策ベンダが、電子メール システムを通過する電子メールをスキャンしてマルウェアの存在を検査する、特定の電子メール サーバー向けの専用バージョンのソフトウェアを提供しています。次の 2 つの基本的なタイプの電子メール ウイルス対策ソリューションを一般に利用できます。

• SMTP ゲートウェイ スキャナ: これらの SMTP (Simple Mail Transfer Protocol) ベースの電子メール スキャン ソリューションは通常、ウイルス対策 "ゲートウェイ" ソリューションと呼ばれています。これらには、特定の電子メール サーバー製品と結び付くのではなく、すべての SMTP 電子メール サービスと共に機能できるという長所があります。ただし、これらのソリューションには、ソリューションの SMTP 電子メール プロトコルへの依存性から、提供できる拡張機能の一部に制限があります。

• 統合型サーバー スキャナ: これらの特化したウイルス対策ソフトウェアは、特定の電子メール サーバー製品と直接連携して機能します。これらのアプリケーションには、多くの長所があります。たとえば、サーバーの高度な機能と直接連携できること、電子メール サーバーと同一のハードウェアを使用するように設計されていることなどです。

Microsoft Exchange は、VAPI (Virus API) と呼ばれるウイルス対策ソフトウェア プログラミング インターフェイス (API) を提供しています。この API は、AVAPI (Antivirus API) または VSAPI (Virus Scanning API) とも呼ばれます。この API は、Exchange Server 用に特化したウイルス対策ソフトウェアによって、Exchange 電子メール サーバー上にセキュリティで保護された信頼性の高い全面的なメッセージ保護を提供するのに使用されます。この API の詳細については、次の URL にある Microsoft.com のマイクロソフト サポート技術情報の記事 328841、「[XADM] Exchange とウイルス対策ソフトウェア」を参照してください。 https://support.microsoft.com/KB/328841

データベース サーバー

データベース サーバー用の対ウイルス防御を検討する場合の主要な保護対象として、次の 4 つの要素があります。

• ホスト: データベースが稼動する 1 つまたは複数のサーバー。

• データベース サービス: ホスト上で実行される、データベース サービスをネットワークに提供するさまざまなアプリケーション。

• データ ストア: データベースに格納されるデータ。

• データ通信: データベース ホストとネットワーク上のその他のホストとの間で使用される接続およびプロトコル。

データ ストア内のデータは直接実行可能なものではないため、一般的に、データ ストア自身にはスキャンは必要ないと考えられています。現在、データ ストア向けに作成された主要なウイルス対策ソフトウェアは存在しません。しかし、データベース サーバーのホスト、データベース サービス、およびデータ通信の各要素については、ウイルス対策構成用に慎重に検討する必要があります。

ホストの配置および構成を確認し、マルウェアの脅威に対応できるようにしてください。一般的なルールとして、マイクロソフトでは、データベース サーバーを組織のインフラストラクチャの境界ネットワーク内に配置しないことをお勧めします。サーバーに機密データが格納されている場合は特に、このルールを遵守してください。このようなデータベースを境界ネットワーク内に配置する必要がある場合は、マルウェアの感染のリスクを最小限にするように構成してください。

組織が SQL Server を使用している場合は、マルウェア攻撃に対する具体的な構成ガイドラインの詳細について、次のガイダンスを参照してください。

• Microsoft.com のマイクロソフト サポート技術情報の記事 309422、「[INF] SQL Server を実行しているコンピュータで使用するウイルス対策ツール」 https://support.microsoft.com/KB/309422

• Microsoft.com 「Microsoft SQL Server」の「セキュリティ」ページ https://www.microsoft.com/japan/sql/techinfo/administration/2000/security/

最近登場した "Slammer" ワームは SQL Server を直接標的にしていました。この攻撃によって、SQL Server データベース コンピュータが境界ネットワーク内にあるのか、または内部ネットワーク内にあるのかに関わらず、それを保護することの重要性が示されました。

SQL Server システムを Slammer ワームから保護するのに役立つ情報およびソフトウェアについては、次の URL にある Microsoft.com の「SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報」のページを参照してください。 https://www.microsoft.com/japan/technet/security/alerts/slammer.mspx

コラボレーション サーバー

コラボレーション サーバーは、その性質から、マルウェアに対して脆弱です。ユーザーがサーバーに、またはサーバーからファイルをコピーするとき、サーバーおよびネットワーク上の他のユーザーをマルウェアの攻撃にさらす可能性があります。コラボレーション ストアにコピーする、またはそこからコピーするすべてのファイルをスキャンできるウイルス対策ソフトウェアを使用して、環境内のコラボレーション サーバー (たとえば、SharePoint Services および SharePoint Portal Server 2003 を実行するサーバー) を保護することをお勧めします。これらのサービスの保護に関する詳細な手順説明については、次の URL にある Microsoft.com の「Administrators Guide for Windows SharePoint Services」の「Configuring Antivirus Protection」 (英語) ページを参照してください。 https://technet.microsoft.com//library/cc288435**

Windows SharePoint Services および SharePoint Portal Server 2003 と連携するように特別に記述されたウイルス対策ソフトウェアの詳細については、次の URL にある Microsoft Office Online の「Solutions Directory」 (英語) ページを参照してください。 https://go.microsoft.com/fwlink/?linkid=13276

ページのトップへ

ネットワーク防御層

ネットワークを介して配信される攻撃が、記録されているマルウェアのインシデントの中で最も数の多いものです。通常、マルウェア攻撃の開始時にはネットワーク境界の防御における脆弱性が悪用され、その結果、マルウェアが組織のインフラストラクチャ内のホスト デバイスへアクセスすることが可能になります。これらのデバイスには、クライアント、サーバー、ルーター、またはファイアウォールさえも含まれます。この層の対ウイルス防御が直面する最も困難な問題は、IT システムのユーザーの機能要件と、効果的な防御を作成するために必要な制限とのバランスをとることです。たとえば、最近の多くの攻撃と同様に、MyDoom ワームは電子メールの添付ファイルを使用して自身を複製しました。IT インフラストラクチャの観点からは、着信する添付ファイルをすべてブロックすることを選択するのが最も単純で安全です。しかし、組織の電子メール ユーザーの要件では、これは実現可能な選択として容認できません。組織の要件と容認できるリスクのレベルとのバランスをとる妥協点を見いだす必要があります。

多くの組織が、内部と外部の両方のネットワーク構造を使用する複数層アプローチをネットワーク設計に採用しています。マイクロソフトはこのアプローチをお勧めします。これは多層防御セキュリティ モデルにそのまま適合するためです。

注: 内部ネットワークを複数のセキュリティ ゾーンに分割して、それぞれに対して境界を確立する傾向が強まっています。このアプローチを採用することで、内部ネットワークへのアクセスを模索するマルウェア攻撃に全体がさらされることが少なくなるため、マイクロソフトはこのアプローチもお勧めします。ただし、このガイドの目的上、ここでは単一ネットワーク防御についてのみ説明します。境界および複数内部ネットワークを使用する場合は、このガイダンスをそれぞれに直接適用してください。

組織にとっての最初のネットワーク防御は、境界ネットワーク防御と呼ばれます。これらの防御は、外部から攻撃を受けたときに組織内部へのマルウェアの侵入を阻止するように設計されます。この章で既に説明したように、通常のマルウェア攻撃では、ファイルを標的のコンピュータにコピーすることに重点が置かれます。したがって、対ウイルス防御では、組織の一般的なセキュリティ対策と連携して、許可された適切な人間からセキュリティ保護された方法 (たとえば、暗号化された仮想プライベート ネットワーク (VPN) 接続) でのみ組織のデータにアクセスできるようにします。セキュリティで保護された境界ネットワーク設計の詳細については、次の URL にある TechNet のガイダンス「Windows Server System Reference Architecture」 (英語) を参照してください。 https://technet.microsoft.com/solutionaccelerators/dd285683.aspx

注: また、すべてのワイヤレス ローカル エリア ネットワーク (LAN) および VPN も境界ネットワークとして考えてください。組織でこれらのテクノロジを実装している場合、それらをセキュリティで保護することは重要です。このセキュリティを怠った場合、攻撃者に内部ネットワークへの (標準の境界防御をバイパスした) 直接アクセスを許し、攻撃を仕掛けることを許すことになります。

WLAN のセキュリティ保護の詳細については、以下に示す TechNet の記事を参照してください。

• 「証明書サービスを使用してワイヤレス LAN のセキュリティを保護する」 https://www.microsoft.com/japan/technet/security/prodtech/windowsserver2003/pkiwire/swlan.mspx

VPN ネットワークのセキュリティ保護に関するガイダンスについては、次に示す Microsoft.com の記事を参照してください。

• 「Windows Server System Reference Architecture」(英語) https://www.microsoft.com/technet/itsolutions/wssra/default.mspx

このガイドは、承認されていない攻撃者による直接の侵入を防御するために、ネットワーク セキュリティ設計によって、組織に必要なレベルの ID、承認、暗号化、および保護が提供されていることを前提としています。しかし、それだけでは対ウイルス防御は完全ではありません。次の手順として、ネットワーク層の防御を構成し、電子メール、Web ブラウジング、およびインスタント メッセージングなどの許可されたネットワーク通信を使用するマルウェア攻撃を検出およびフィルタリングします。

ネットワークのウイルス対策構成

組織向けにネットワーク セキュリティを提供することを目的として特別に設計された構成およびテクノロジが数多く存在します。これらは組織のセキュリティ設計に不可欠の部分ですが、ここでは、対ウイルス防御と直接関係する領域にのみ重点を置きます。以下に示す各技術を組織で使用する方法については、ネットワーク セキュリティ チームおよびネットワーク設計チームで決定してください。

ネットワーク侵入検知システム

境界ネットワークは外部にさらされている部分が非常に多いネットワークであるため、ネットワーク管理システムが可能な限り早期に攻撃を検出および報告できることが重要になります。ネットワーク侵入検知 (NID) システムの役割は、まさにそれを提供することです。つまり、外部からの攻撃の迅速な検出と報告です。NID システムは包括的なシステム セキュリティ設計の一部でありウイルス対策用のツールではありませんが、攻撃の最初の兆候の多くはシステム攻撃とマルウェア攻撃で共通しています。たとえば、いくつかのマルウェアは IP スキャンを使用して、感染に利用可能なシステムを見つけます。このため、NID システムは、組織のネットワーク管理システムと連携して、通常は見られないネットワークの動きに関する警告を組織のセキュリティ要員に直接配信するように構成されている必要があります。

NID の実装に関して理解しておく必要のある重要な点は、NID の保護は、侵入が検出されたときにそれに対応する処理を起動するプロセス次第であるということです。このプロセスによって攻撃をブロックするための防御がトリガされ、この防御が常にリアルタイムで監視されることが望まれます。そのような状態になってはじめて、プロセスは防御戦略の一部であると考えることができます。そうでない場合、NID システムは、実際は攻撃を受けた後に監査記録を提供するツールでしかありません。

ネットワーク設計者が利用できる、エンタープライズ クラスのネットワーク侵入検知システムがいくつかあります。それらはスタンドアロン デバイスである場合も、組織のファイアウォール サービスのような他のネットワーク サービスに統合されるシステムである場合もあります。たとえば、Microsoft Internet Security and Acceleration (ISA) Server 2000 および 2004 製品には、ファイアウォール サービスやプロキシ サービスに加えて NID システムの機能も含まれています。

ISA Server 用のその他の NID サービスを提供する Microsoft ISA Server パートナーの一覧については、次の URL にある Microsoft.com の「アタック検出」ページを参照してください。 https://www.microsoft.com/japan/isaserver/partners/intrusiondetection.mspx

アプリケーション レイヤ フィルタリング

インターネット フィルタリング テクノロジを使用してウイルスなどの違法のコンテンツについてネットワーク通信を監視および選別することは、有益なだけでなく必要であることを組織は認識しつつあります。従来、このフィルタリングはファイアウォール サービスによって提供されるパケット レイヤ フィルタリングを使用して実行されていました。パケット レイヤ フィルタリングでは、発信元または送信先の IP アドレス、または特定の TCP または UDP ネットワーク ポートに基づいたネットワーク トラフィックのフィルタリングのみが可能です。アプリケーション レイヤ フィルタリング (ALF) は、OSI ネットワーク モデルのアプリケーション層で機能するため、データの検査およびフィルタリングをデータの内容に基づいて行うことができます。ALF を標準のパケット レイヤ フィルタリングに加えて使用する場合、非常に高いセキュリティを実現できます。たとえば、パケット フィルタリングを使用することで組織のファイアウォールを通過するポート 80 のネットワーク トラフィックをフィルタリングでき、それを Web サーバーにだけ渡すようにできます。しかし、このアプローチでは十分なセキュリティを提供できない場合があります。ソリューションに ALF を追加することでポート 80 上の Web サーバーに渡されるデータをすべて検査でき、それが適切で、疑わしいコードが含まれていないことを確認できます。

ISA Server は、組織のファイアウォールを通過したデータ パケットに対して ALF を提供できます。Web ブラウジングおよび電子メールをスキャンして、それぞれに固有のコンテンツにスパムやマルウェアなどの疑わしいデータが含まれていないことを確認できます。ISA Server 内の ALF 機能は、任意のポートおよびプロトコルを使用するトラフィックの検出、検査、および検証を含む、より徹底したコンテンツ分析を可能にします。さまざまなプロトコルおよび Web トラフィックのセキュリティと相互作用を強化するためのフィルタを作成しているベンダの一覧については、次の URL にある Microsoft.com の「アプリケーション フィルタ」ページを参照してください。 https://www.microsoft.com/japan/isaserver/partners/applicationfilters.mspx

ISA Server 2000 内での ALF の動作の詳細な説明については、次の URL にある「Introducing the ISA Server 2000 Application Layer Filtering Kit」 (英語) のページを参照してください。 www.isaserver.org/articles/spamalfkit.html

コンテンツ スキャン

コンテンツ スキャンは、より高度なファイアウォール ソリューションにおける 1 つの機能として、または電子メールなどの別のサービスのコンポーネントとして利用できます。コンテンツ スキャンは、有効なデータ チャネルを介した組織のネットワークへの出入りが許可されているデータに対して問い合わせを行います。コンテンツ スキャンは、電子メールに対して実行される場合、通常、電子メール サーバーと共に機能して、添付ファイルなどの固有の特性について電子メールを検査します。この技術により、データがサービスを通過するときにリアルタイムにマルウェア コンテンツをスキャンおよび特定できます。マイクロソフトと協力して、ウイルス対策リアルタイム コンテンツ スキャンなどの、強化されたセキュリティ機能を Microsoft Exchange Server と ISA Server の両方に提供するいくつかのパートナーがあります。

Microsoft Exchange Server 2003 用に使用できるパートナーのウイルス対策製品の詳細については、次の URL にある Microsoft.com のマイクロソフト サポート技術情報の 823166、「Exchange Server 2003 とウイルス対策ソフトウェアの概要」を参照してください。 https://support.microsoft.com/kb/823166/ja

ISA Server 用のコンテンツ スキャン製品を開発している Microsoft パートナーの一覧については、次の URL にある Microsoft.com の「パートナー」ページを参照してください。 https://www.microsoft.com/japan/Isaserver/partners

URL フィルタリング

ネットワーク管理者が利用できるもう 1 つの選択肢は URL フィルタリングです。URL フィルタリングは問題のある Web サイトをブロックするのに使用できます。たとえば、URL フィルタリングを使用して、既知のハッカーの Web サイト、ダウンロード サーバー、および個人用の HTTP 電子メール サービスをブロックできます。

注: 主要な HTTP 電子メール サービス サイト (Hotmail や Yahoo など) はウイルス対策スキャン サービスを提供していますが、これをまったく提供していない小規模のサイトも数多く存在します。このようなサービスはインターネットからクライアントへの直接の経路を提供するため、このことは組織の防御にとって深刻な問題です。

ネットワーク管理者は、URL フィルタリングに関して、次の 2 つの基本的な方法を使用できます。

• ブロック リスト: ファイアウォールは、接続を許可する前に、事前定義された問題のあるサイトのリストを確認します。ユーザーは、ブロック リストに指定されていないサイトに接続できます。

• 許可リスト: このアプローチでは、事前定義された Web サイトのリストに入力されている、組織が承認したサイトとの通信が許可されます。

最初のアプローチは、問題を含む可能性のある Web サイトを識別してそれらをリストに追加する積極的なプロセスに依存しています。インターネットの規模および可変的な性質から、この方法には自動化されたソリューションまたは多大な管理労力が必要になります。また、このアプローチは通常、包括的な保護ソリューションを提供するのではなく、少数の既知の問題があるサイトをブロックする場合にのみ有益です。2 つ目のアプローチによる保護は、より強力です。これは、その制限的な性質により、システムのユーザーが利用できるサイトをコントロールすることができるためです。ただし、ユーザーが必要とするサイトを特定する調査が正しく行われないと、このアプローチは多くの組織にとって過度な制限になる可能性があります。

Microsoft ISA Server は、サイトとコンテンツ ルールの使用による、これらの両方のリストの手作業による作成をサポートします。ただし、ISA Server と直接連携して、必要とされる URL のブロックまたは許可を最低限の管理労力で可能にする、強化および自動化されたソリューションが Microsoft パートナーから入手可能です。これらのソリューションの一覧については、次の URL にある Microsoft.com の「URL フィルタ - アクセス制御」ページで入手できます。 https://www.microsoft.com/japan/isaserver/partners/accesscontrol.mspx

これらのアプローチは両方とも、クライアントが組織の防御の内側に存在する場合にのみ、保護を提供します。この保護は、モバイル クライアントが外出中に直接インターネットに接続する場合には有効ではありません。これはネットワークが攻撃の影響を受けやすいことを意味しています。組織のモバイル クライアントで URL フィルタ ソリューションが必要な場合には、クライアントベースの防御システムの使用を検討してください。ただし、このアプローチは、特に環境内のモバイル クライアントの数が多い場合に、深刻な管理負荷につながります。

検疫ネットワーク

ネットワークのセキュリティ保護に使用できるもう 1 つの手法は、組織のセキュリティに関する最小要件を満たさないコンピュータ用に検疫ネットワークを構築することです。

注: この手法をいくつかのウイルス アプリケーションで使用可能な検疫機能、つまり感染したファイルを感染が除去されるまでコンピュータ上の安全な領域に移動する機能と混同しないでください。

検疫ネットワークでは、組織のリソースへの内部アクセスを制限またはブロックする必要がありますが、一方で、一時的な訪問者のコンピュータが内部ネットワークのセキュリティを危険にさらすことなく十分に機能できるレベルの接続性 (インターネットを含む) を提供する必要があります。訪問者がマルウェアに感染しているラップトップを持ち込み、それをネットワークに接続した場合、内部ネットワーク上の他のコンピュータへの感染は検疫ネットワークによって制限されます。

これに似たアプローチが、VPN タイプのリモート接続に適用されたことがあり、これは成功を収めています。システム テストが実行されている間、VPN クライアントは一時的な検疫ネットワークに迂回させられます。たとえば必要なセキュリティ更新プログラムおよびアンチウイルス定義ファイルを取得して、テストに合格した場合、クライアントは組織の内部ネットワークへのアクセスを許可されます。クライアントは、これらの要件を満たしていない場合、接続を切られるか、またはテスト合格に必要な更新プログラムを入手するために使用できる隔離ネットワークへのアクセスが許可されます。現在、ネットワークの設計者は内部ネットワークのセキュリティを強化する目的でこのテクノロジに着目しています。

ISA Server Feature Pack

組織で ISA Server 2000 を使用している場合、マイクロソフトでは ISA Server Feature Pack 1 で提供される追加機能も使用することをお勧めします。この無料のアドオンは、組織のネットワーク防御内のファイアウォールを通過する通信 (電子メールを含む) のセキュリティ強化に使用できる追加のセキュリティ機能を提供するものです。ウイルス対策ネットワーク防御の強化に使用できる機能を以下に示します。

•  強化された SMTP フィルタ: この機能は、向上した信頼性とセキュリティで、電子メールのフィルタリングを支援します。フィルタリングは、名前、サイズ、添付ファイルの拡張子、送信者、ドメイン、キーワード、および SMTP コマンドとその長さに基づいて行われます。

•  強化された Exchange リモート プロシージャ コール (RPC) フィルタ: この機能は、信頼されていないネットワーク越しの Outlook 電子メールの Exchange Server コンピュータへの通信を保護します。その際、VPN のセットアップは必要ありません。これを実現するために、以下の追加機能もまた ISA Server Feature Pack 1 に含まれています。

  • 管理者が Outlook と Exchange Server との間の RPC の暗号化を強要できる機能。

  • 送信 RPC 通信がセキュリティで保護された状態で ISA Server を通過できる機能。これはつまり、ISA Server サーバー コンピュータに接続している Outlook クライアントに外部の Exchange Server コンピュータへのアクセスを許可するものです。

• UrlScan 2.5: このツールは、悪意のある Web 要求がネットワークに入って Web サーバーにアクセスする前に、ISA Server コンピュータでそれを阻止するうえで役立ちます。

• Outlook Web Access (OWA) ウィザード: このウィザードを使用して迅速かつ容易に ISA Server を構成し、OWA の展開を保護できます。

• RPC フィルタ構成ウィザード: このウィザードを使用すると、内部ネットワーク上の RPC サービスに対して、すべての RPC トラフィックを許可するのではなく、詳細レベルのアクセスだけを許可できます。

Feature Pack を入手するには、次の URL にある Microsoft.com の「How to Obtain Feature Pack 1」 (英語) のページを参照してください。 https://www.microsoft.com/download/details.aspx?displaylang=ja&FamilyID=2f92b02c-ac49-44df-af6c-5be084b345f9

これらの機能を使用した境界 ISA Server ファイアウォールのセキュリティ保護の詳細については、次の URL にある Microsoft.com の「ISA Server Feature Pack 1」のページを参照してください。 https://www.microsoft.com/download/details.aspx?displaylang=ja&FamilyID=2f92b02c-ac49-44df-af6c-5be084b345f9

ページのトップへ

物理的なセキュリティ

物理的なセキュリティはマルウェアに限定した問題というよりも、むしろ一般的なセキュリティの問題ですが、組織のインフラストラクチャ内のすべてのクライアント、サーバー、およびネットワーク デバイスに対する効果的な物理的防御の計画なしに、マルウェアからの保護を行うことは不可能です。効果的な物理的防御の計画にはいくつかの重要な要素があります。それらを以下に示します。

• ビルのセキュリティ

• 個人のセキュリティ

• ネットワーク アクセス ポイント

• サーバー コンピュータ

• ワークステーション コンピュータ

• モバイル コンピュータおよびデバイス

組織のセキュリティ リスク評価では、これらの各要素を評価する必要があります。攻撃者がこれらの要素を侵害すると、マルウェアが外部および内部ネットワークの防御の境界をバイパスしてネットワーク上のホストに感染するリスクは増加します。

施設およびコンピュータ システムへのアクセスの保護は、組織の全体的なセキュリティ戦略の基本的な要素です。これらの問題の詳細な説明については、このソリューションの範囲外です。健全な物理的セキュリティ計画の基本要素に関する情報は、次の URL にある Microsoft TechNet の記事「5 ミニッツ セキュリティ アドバイザ - 基本の物理的なセキュリティ」で入手できます。 https://www.microsoft.com/japan/technet/archive/community/columns/5min/5min-203.mspx

ページのトップへ

ポリシー、手順、および認識

クライアント、サーバー、およびネットワークの運用ポリシーおよび手順は、組織の対ウイルス防御の各層に不可欠な側面です。組織の対ウイルス多層防御ソリューションの一部として、以下のポリシーおよび手順について検討することをお勧めします。

• ウイルス対策スキャン ルーチン: 理想的なのは、使用するウイルス対策ソフトウェアが自動化されたリアルタイムのスキャンをサポートしていることです。しかし、そうでない場合は、組織のユーザーが完全なシステム スキャンをいつ実行すればよいのかについてのガイダンスを用意する必要があります。

• ウイルス対策定義ファイルの更新ルーチン: 最新型のウイルス対策ソフトウェアでは、更新されたウイルス定義ファイルをダウンロードする自動化された手法がサポートされています。この手法を定期的に実施することが望まれます。ただし、これらの更新プログラムを展開する前にテストする必要がある組織は通常、このような手法は使用できません。この場合には、サポート スタッフが可能な限り早期に定義ファイルを特定、ダウンロード、テスト、および更新するようにしてください。

• 許可されたアプリケーションおよびサービスについてのポリシー: 組織のコンピュータ、および組織のリソースにアクセスする他のコンピュータ上で許可されるアプリケーションについて、明確に説明されたポリシーが存在していることが望ましいでしょう。問題を起こす可能性のあるアプリケーションの例には、ピア ツー ピア ネットワーク アプリケーション、および悪意のある Web サイトからユーザーが直接ダウンロードしたアプリケーションがあります。

マイクロソフトでは少なくとも、組織のネットワーク防御層のすべてのデバイスに対して以下のポリシーおよび手順を実施することをお勧めします。

• 変更管理: ネットワーク デバイスに関するセキュリティ プロセスの鍵となるのは、それらに影響を及ぼす変更を管理することです。理想的なのは、すべての変更が提案、テスト、および実装され、その過程が管理および文書化されることです。境界ネットワーク内のデバイスに対する、このような管理を伴わない変更は、構成エラーまたは攻撃に悪用される欠陥を高い確率で発生させます。

• ネットワークの監視: ネットワーク デバイスを正しく構成してセキュリティ用に最適化することは、その他のウイルス対策手順を無視してもよい、ということを意味するものではありません。ネットワーク内のすべてのデバイスの継続的な監視は、マルウェア攻撃を可能な限り早期に発見するために不可欠です。監視プロセスは複雑です。監視プロセスは通常とは異なる動作を識別するために "通常" 動作の基準を作成する必要があり、そのために、数多くのソース (ファイアウォール、ルーター、スイッチなど) から情報を収集する必要があります。

• 攻撃検出のプロセス: マルウェア攻撃の疑いが検出された場合、エンド ユーザーの処理の中断を最小限に留めながら攻撃を確認、制御、および除去するために、それらの手順を組織で明確に定義および文書化してください。詳細については、第 4 章の「感染拡大防止と復旧」を参照してください。

• ホーム コンピュータ ネットワーク アクセス ポリシー: 従業員が自宅のコンピュータまたはネットワークを VPN 接続を介して組織のネットワークに接続する際には、事前に最小要件セットを整備し、それを満たすことで接続が可能になるようにしてください。

• 訪問者のネットワーク アクセス ポリシー: 訪問者が組織のネットワークに接続する際には、事前に最小要件セットを整備し、訪問者がそれを満たすことで接続が可能になるようにしてください。これらの要件は、ワイヤレスおよびワイヤードの両方の接続に適用してください。

• ワイヤレス ネットワーク ポリシー: ワイヤレス デバイスはすべて、内部ネットワークに接続する前に、最小セキュリティ構成要件を満たすことが望まれます。このポリシーでは、組織で必要とされる最小構成を指定する必要があります。

ネットワーク デバイスのセキュリティ強化のために実施できるポリシーおよび手順は、これら以外にも多く存在します。ここで示したものは、開始点と考えてください。しかし、これら以外のポリシーはウイルス対策に特化した設定ではなく一般的なセキュリティ設定を提供するものであるため、このガイドでは対象としません。

セキュリティ更新ポリシー

クライアント、サーバー、およびネットワークの防御のすべてで、何らかの形のセキュリティ更新管理システムが機能している必要があります。このようなシステムは、大企業向けパッチ管理ソリューションの一部として提供されます。ベンダが提供する更新プログラムについて、ホストおよびデバイスのオペレーティング システムを定期的にチェックしてください。セキュリティ更新ポリシーには、セキュリティ更新プログラムを組織のシステムに展開するのに使用される、プロセスの運用条件も含めてください。このプロセスには、以下の段階があります。

1. 更新プログラムの有無の確認: 利用可能な更新プログラムをユーザーに通知する、何らかの自動通知プロセスが機能している必要があります。

2. 更新プログラムのダウンロード: システムは、ユーザーおよびネットワークへの影響を最小限に留めながら、更新プログラムをダウンロードできる必要があります。

3. 更新プログラムのテスト: 更新プログラムが基幹ホスト用である場合、各更新プログラムを運用環境に展開する前に、相応の非運用システム上でテストしてください。

4. 更新プログラムの展開: 更新プログラムをテストおよび検証したら、配布するための単純な展開メカニズムが用意されている必要があります。

環境内の更新プログラムを適用するシステムでテスト フェーズが不要な場合は、プロセス全体を自動化することを組織で検討してください。たとえば、Microsoft Windows Update Web サイト上にある Automated Updates オプションを使用すると、ユーザーの介入なしにクライアント コンピュータに対する通知および更新を行うことができます。 このオプションを使用することで、システムが可能な限り早期に最新のセキュリティ更新プログラムを実行できるようにします。ただし、このアプローチでは更新プログラムはインストール前にテストされません。インストール前のテストが組織の要件に含まれる場合は、このオプションは推奨されません。

組織のシステムを最新のセキュリティ更新プログラムを使用して保守することが、組織のシステム管理における日常的な作業になるようにしてください。

リスクベースのポリシー

非常に多くのクライアント、サーバー、およびネットワーク デバイスが対ウイルス多層防御モデルの境界ネットワークおよび内部ネットワークの層に接続している状態では、組織の要件および構成をすべて管理する単一の効果的なポリシーを作成することは困難です。ポリシーを編成するうえで使用できる 1 アプローチは、組織内のホストをホストの種類およびリスクにさらされる可能性の程度に基づいたカテゴリにグループ化することです。

ホストまたはデバイスに割り当てるリスクのレベルを決定するために、それぞれに対してリスク評価を実行することを検討してください。リスク評価の実行に関する詳細なガイダンスについては、次の URL にある TechNet の「マイクロソフト の Securing Windows 2000 Server ソリューション**」の「第 3 章 - セキュリティ リスク管理の統制について理解する」を参照してください。 https://www.microsoft.com/japan/technet/security/prodtech/windows2000/secwin2k/03secrsk.mspx

マイクロソフトは、組織のクライアントを対象とするリスク評価ポリシーに対して、以下の構成カテゴリについて検討することをお勧めします。

• 標準クライアント構成: この構成カテゴリは通常、物理的にオフィス ビル内に設置されているオフィスベースのデスクトップ コンピュータに適用されます。これらのデスクトップ クライアントは、既存の外部ネットワークおよび内部ネットワークの防御によって継続的に保護され、組織のビル内でセキュリティ保護されます。

• ハイリスク クライアント構成: この構成カテゴリは、モバイル コンピュータ ユーザー、および PDA や携帯電話などのモバイル デバイスのニーズに合うように設計されます。これらのデバイスは、組織のネットワーク防御による保護の外部に持ち出されることがしばしばあり、その結果、高いリスクにさらされます。

• ゲスト クライアント構成: この構成カテゴリは、組織が所有またはサポートしていないクライアント コンピュータ向けに設計されます。こういったコンピュータの構成を制御することはほとんどないため、構成を管理することはほとんど不可能です。ただし、これらのコンピュータが組織のネットワークに接続する能力を制限するポリシーを設定することは可能です。ゲスト クライアント コンピュータは通常、以下のいずれかになります。

  • 従業員の自宅のコンピュータ

  • パートナーまたはベンダのコンピュータ

  • ゲストのコンピュータ

マイクロソフトでは、サーバーの役割用のリスク カテゴリを作成することもお勧めします。クライアントだけでなくサーバーに対しても同一のリスク評価を行うことが推奨されます。サーバー ポリシーの開始点として、以下の構成カテゴリを検討してください。

• 標準サーバー構成: この構成は、環境内のサーバー構成の大部分に共通するものとなるように設計されます。この構成は最小レベルのセキュリティを提供しますが、通常使用されるサービスを制限することはありません。次に、ハイリスク構成カテゴリおよび役割固有の構成カテゴリを変更することで、すべてのポリシー要件に適切なレベルで対応できます。

• ハイリスク サーバー構成: 境界ネットワーク内にあるサーバー、または外部の接続またはファイルに直接さらされるサーバーは、この構成カテゴリに属すると考えてください。たとえば、境界 Web サーバー、ファイアウォール サーバー、およびメッセージング サーバーはこのカテゴリに含まれます。HR データベース サーバーなどの特に機密性の高いデータを含むサーバーも、ネットワーク上の位置に関係なく、この構成に含まれます。

• 役割固有の構成: 組織は、サーバー アプリケーション要件により密に適合させるために、サーバーの各役割をさまざまな構成に編成することを選択できます。たとえば、メッセージング サーバー、データベース サーバー、またはファイアウォールに対して役割固有の構成を使用することを選択できます。必要に応じて、標準構成カテゴリまたはハイリスク構成カテゴリに加えて、このアプローチを使用できます。

リスクベースのポリシーの使用は最終的に組織の計画チームが選択することで、基準となる構成の分類をさらなる整備の基礎として使用できます。最終的な目標は、管理システムがサポートする必要のある構成の数を削減することです。一般に、標準化されたアプローチを使用したほうが、環境内の各ホストのセキュリティをそれぞれ個別に構成するよりも、セキュリティに優れた構成を生じる可能性は高くなります。

自動化された監視および報告のポリシー

マルウェアの感染の疑いを中央に報告する機能のある自動監視システムまたはウイルス対策ソフトウェアを組織で使用する場合、このプロセスを自動化し、警告によって組織の IT インフラストラクチャ内のすべてのユーザーに対する通知が自動的に行われるようにできます。自動化された警告システムによって、初期警告からユーザーがマルウェアの脅威を認識するまでの遅延は最小化されますが、この方法の問題点は、多くの "擬陽性" 警告が生成されることです。警告の選別を誰も行わず、通常と異なる動作に関する報告のチェックリストを誰もレビューしない場合、実際には存在しないマルウェアに対する警告が行われる可能性は高くなります。このような状況は、ユーザーが頻繁に生成される警告に対してすぐに鈍感になり、それを当然と思うことにつながる可能性があります。

マイクロソフトでは、組織が使用するすべてのシステム監視ソフトウェアまたはウイルス対策ソフトウェアからの自動化されたマルウェア警告を受信する責任者に、ネットワーク管理チームのメンバを割り当てることをお勧めします。これによりチームは自動化されたシステムからの擬陽性警告を除去した後に、ユーザーに対して警告を送信することができます。この方法を成功させるためには、チームは週 7 日、1 日 24 時間警告を監視し、警告をすべてチェックし、必要に応じてネットワーク ユーザーにリリースすることを確実にする必要があります。

ユーザーおよびサポート チームの認識

チームの認識向上およびトレーニングは、組織内の管理チームおよびサポート チームを対象とします。主要な IT 専門家を対象とするトレーニングは IT のすべての領域における基本的な要件ですが、対ウイルス防御の場合は特に重要です。というのは、マルウェア攻撃および防御の性質は日常的に変化するためです。新しいマルウェア攻撃は、ほとんど一夜のうちに、効果的な防御システムを危うくすることができ、組織の防御をリスクにさらします。これらの防御のサポート担当者が、新しいマルウェア攻撃を発見し、対応するためのトレーニングを受けていない場合、対ウイルス防御システムで深刻な侵害が発生するのは時間の問題です。

ユーザーの認識

多くの場合、ユーザー教育は、組織が対ウイルス防御を設計する際に検討する最後の事項です。ユーザーがマルウェア攻撃に関連するいくつかのリスクを理解するのを支援することは、このようなリスクの緩和策の一部です。というのは、組織内の IT リソースを使用する全員が、ネットワークのセキュリティにおける役割を担うためです。したがって、ユーザーが緩和することができる、次に示すような、より一般的なリスクについてユーザーを教育することが重要です。

• 電子メールの添付ファイルを開く。

• 推測が容易なパスワードを使用する。

• アプリケーションおよび ActiveX コントロールを信頼されない Web サイトからダウンロードする。

• 許可されていないリムーバブル メディアからアプリケーションを実行する。

• 組織のデータおよびネットワークへのアクセスを許可する。

マルウェア技術の変化に応じて、対ウイルス防御を更新する必要があります。ウイルス対策プログラムの定義ファイルを更新する必要があるのか、プログラム自身を更新する必要があるのかによらず、更新プログラムの作成と展開には時間がかかります。最近の数年間で、更新プログラムの作成に必要な時間は劇的に縮小しました。これらの更新プログラムは通常、数時間で利用できるようになっています。しかし、まれな場合ですが、新しいマルウェア攻撃がリリースされてから効果的な対ウイルス防御が利用できるようになるまで数日かかることがあります。

この期間、組織にとっての最良の防御は、ユーザーがマルウェアとそのリスクについて認識しているということかもしれません。ユーザーに基本的なウイルス対策のガイドラインおよびトレーニングを提供しておくことは、IT 防御を通過してきた新しいマルウェアによる障害が環境全体へ伝搬するのを阻止するうえで役立ちます。

ユーザーのトレーニングは、複雑なプロセスにする必要はありません。基本的なウイルス対策のガイドラインは多くの部分が共通の認識の原則に基づいていますが、このようなガイドラインを確実に実施し、明確に伝えることが思いのほか困難な場合があります。次の URL の Microsoft TechNet で入手できる「Windows XP ベースライン セキュリティ チェックリスト」は、ウイルス対策およびセキュリティ関連の問題を特定してユーザーに伝えるうえで役立ちます。 https://www.microsoft.com/japan/technet/archive/security/chklist/xpcl.mspx

モバイル デバイスの責任者であるユーザーは多くの場合、デバイスを組織の物理的な防御およびネットワーク防御の外側に持ち出すことに関連するリスクを理解するために、別のトレーニングを必要とします。また、これらのモバイル デバイスを保護するために追加の防御が必要になることも考えられます。したがって、追加の構成、およびこれらのデバイスを管理するユーザーに対するトレーニングが必要になることがあります。

注: いくつかの有益なエンド ユーザー構成情報が、次の URL にある Microsoft.com のガイダンス「Protect your PC」 に記載されています。 https://www.microsoft.com/japan/protect/computer/default.mspx このサイトには、ユーザーが自宅のコンピュータおよびネットワークのセキュリティ保護について学習する際に役立つ情報があります。

サポート チームの認識

組織のサーバー、クライアント、およびネットワーク デバイスの構成およびサポートに責任のある IT 専門家は、システムを適切に構成および保守し、マルウェア攻撃を阻止できるように、ウイルス対策のトレーニングを受ける必要があります。これらのコンピュータまたはデバイスのどれか 1 つにでも構成にエラーがあると、マルウェア攻撃に経路を開くことになります。たとえば、トレーニングの不足しているファイアウォールの管理者が、境界のファイアウォール デバイス上のすべてのネットワーク ポートを既定で開いた場合、深刻なセキュリティ リスクおよびマルウェア リスクが発生します。組織の境界ネットワークに接続するデバイスに責任のある管理者は、セキュリティについてのトレーニングを受け、ネットワーク デバイスに影響する可能性のある攻撃の範囲を理解する必要があります。

マイクロソフトから直接提供される、セキュリティ トピックに関する多くのイベント、実践的なトレーニング (Hands-On Lab)、および Web キャストが利用可能です。これらのトピックの詳細については、次の URL にある Microsoft.com の「Your Security Program Guide」 (英語) を参照してください。 https://www.microsoft.com/seminar/events/security.mspx

Microsoft Learning から提供される、セキュリティについてのトレーニングおよび書籍も利用できます。これらの出版物の詳細については、次の URL にある Microsoft.com の「Microsoft Learning Security Resources」 (英語) ページを参照してください。 https://www.microsoft.com/learning/centers/security.mspx

ユーザーからのフィードバックの入手

使用しているシステムでの異常な動作を報告する単純で効果的なメカニズムが用意されている場合、マルウェアに気付いたユーザーは、優れた早期警告システムを提供できます。このようなメカニズムの形態としては、ホットライン電話番号、電子メール エイリアス、組織のヘルプ デスクからの迅速なエスカレーション プロセスがあります。

事前内部連絡

可能な場合、IT 部門のメンバで事前ウイルス対策応答チームを作り、外部のマルウェア警告サイトを監視して、マルウェア攻撃の早期警告が出されていないかどうかを確認してください。このようなサイトの例を以下に示します。

• ウイルス対策ソフトウェアのベンダの Web サイト

• 次の URL の AVIEN (Anti-Virus Information Exchange Network) の Web サイト (英語) www.avien.org

• AVIEN の AVI-EWS (Antivirus Information Early Warning System) などのウイルス対策警告サービス (これらのサービスに加入できます)

• 次の URL にある Microsoft.com の「Microsoft Security Antivirus Information」 (英語) Web サイト https://www.microsoft.com/security/antivirus/default.mspx

これらのような参照サイトの定期的な確認により、最新のマルウェアの脅威が組織のネットワークに侵入する前に、この情報についてサポート要員はシステム管理者およびユーザーに通知できるようになります。これらの確認を行う時期が重要です。システムのユーザーが朝の電子メール確認を行う前に事前警告を受けるようにすることは、数個の疑わしい電子メールを削除するか、またはマルウェアの感染を封じ込めるように努力するかの違いにつながります。システムのユーザーの大部分が午前 9 時にログオンする場合、この時刻より前に新しいマルウェアの脅威について連絡する方法を確立することがベスト プラクティスと考えられます。

内部でのマルウェアに関する警告

マルウェア攻撃の可能性をすべてのユーザーに適切なタイミングかつ包括的な方法で通知するための、最も効果的なメカニズムを見つけることが重要です。利用できる通信システムは組織のインフラストラクチャに大きく依存するため、すべての組織で機能するマルウェア警告システムを提供することは不可能です。ここでは、この目的のために組織で検討できるメカニズムの例を提供します。それらを以下に示します。

• 組織の掲示板: ローテクですが忘れてはならない方法は、オフィス内部のドア、掲示板、または従業員の目にとまる紙ベースの情報ポイントの使用です。この方法は管理上の労力が必要となりますが、ネットワーク内の領域が攻撃によって利用できなくなった場合の必要な情報の連絡に威力を発揮します。

• ボイス メール システム: 組織のボイス メール システムですべてのユーザー向けに 1 つのメッセージを残す機能がサポートされている場合は、この機能がマルウェアの警告を伝えるための効果的なメカニズムになります。ただし、この方法が有効となるには、ユーザーが電子メールの脅威を警告するボイス メールに電子メールよりも前にアクセスするかどうかによることに注意してください。

• ログオン メッセージ: ログオン処理中にメッセージを直接ユーザーの画面に送信するように、Windows オペレーティング システムを構成できます。このメカニズムの利用は、マルウェアの警告にユーザーの注意を向けるための良い方法です。

• イントラネット ポータル: ユーザーが自身のホームページとして設定する共通のイントラネット ポータルをマルウェアの警告を提供するのに使用できます。この警告のメカニズムを有効にするには、ユーザーに対して、電子メールにアクセスする前にこのポータルを確認するように指導する必要があります。

• 電子メール システム: 電子メール システムを使用してマルウェアについての警告をユーザーに伝える場合は注意が必要です。電子メール サーバーが攻撃の影響を受ける可能性もあるので、このメカニズムがすべての場合に有効に機能するとは限りません。また、受信ボックスのキュー プロセスの性質から、マルウェアを含む電子メールがユーザーに配信された後に、マルウェアについての警告が配信されることがあります。したがって、ユーザーに対し、最初にコンピュータにログオンしたときに、電子メール メッセージを確認する前に、優先度の高いマルウェアについての警告をまず探すように指導する必要があります。

ページのトップへ

要約

対ウイルス防御は、いまやアプリケーションをインストールする程度のことで実現されるものではありません。最新のマルウェア攻撃によって、より包括的な防御手法が必要であることが証明されています。この章では、組織向けの効果的なウイルス対策ソリューションを構築するうえで必要な多層防御アプローチの基礎を形成するために、多層防御セキュリティ モデルの適用方法に重点をおきました。マルウェア作成者は、組織で使われている可能性のある新しい IT テクノロジを攻撃するために攻撃手法を継続的に更新していること、およびウイルス対策のテクノロジはこれらの新しい脅威を緩和するために常に進化していることを理解することが重要です。

対ウイルス多層防御のアプローチは、IT インフラストラクチャが今後発生する可能性のあるすべてのマルウェア攻撃経路に対処するのに役立ちます。この階層化されたアプローチの使用は、システム全体、つまり環境内の境界ネットワークからコンピュータで作業する個人にいたるすべての範囲で、弱点の発見を容易にします。対ウイルス多層防御アプローチで説明されている層のどれか 1 つにおいてでも取り組みに失敗した場合、システムを攻撃にさらすことになります。

ウイルス対策ソリューションを定期的にレビューすることで、いつでも必要なときにそれを更新できるようにしてください。自動化された単純なウイルス定義ファイルのダウンロードから運用ポリシーの大幅な変更まで、対ウイルス保護のすべての側面が重要です。

同様に、このガイドで提供する情報は更新される可能性があるため、https://www.microsoft.com/security/antivirus/default.mspx にある Microsoft.com の「Microsoft Security Antivirus Information」 Web サイト (英語) を常に確認して最新のウイルス対策情報およびガイダンスを入手することが重要です。

マイクロソフトは、マルウェアがどれだけ混乱を引き起こし、どれだけ費用のかかるものであるかを認識しており、マルウェアの作成および配布が困難になるように多大な労力を注いできています。また、マイクロソフトは、業務運用への影響を最小限に留めながらセキュリティ要件を満足するようにシステムを構成するネットワーク設計者、IT 専門家、およびエンド ユーザーによる作業を簡単なものにするために努力しています。

悪意のあるコードを完全に一掃することは不可能かもしれませんが、この対ウイルス多層防御のアプローチで強調されている領域に常に注意を払うことで、マルウェア攻撃が組織の業務運用に与える影響を最小限に抑えることができます。

ページのトップへ

目次

• 概要
• 第 1 章: 対ウイルス多層防御ガイドの紹介
• 第 2 章: マルウェアの脅威
• 第 3 章: 対ウイルス多層防御
• 第 4 章: 感染拡大防止と復旧
• 謝辞

ページのトップへ