【第4回】スパイウェア、ボット、ネットワーク型ウイルス…インターネットに潜む脅威からPCを的確に守るクライアントセキュリティの重要性（後編）

前回、スパイウェアやボット、ネットワーク型ウイルスによって、企業がどのような危険に脅かされるかを解説した。では、このような各種の脅威から、クライアントPCを守るためには、どうすればよいのか？　今回は、統合型クライアントセキュリティソフトの導入の効果について見ていくことにしよう。

個人任せのスパイウェア対策には問題が

　企業に対するスパイウェアによる被害はどのような形で現れるのか？　これには、情報漏えい意外にも、PCのパフォーマンスの低下、ポップアップウインドウの提示などによる従業員の業務効率の悪化など、さまざまな被害が想定される。そして、スパイウェアによる被害を防ぐためには、前回も述べたように個人でスパイウェア専用の対策ツールの導入も一助となるだろう。

　しかし、企業内での使用する場合には、全体的なセキュリティのポリシーやレベルの統一が求められているのに対して、スパイウェア対策を個々に判断を任せることでそれが崩れることが懸念される。加えて、企業が独自アプリケーションを使用している場合、それをスパイウェアと判断して削除してしまうなどの問題を起こす可能性もある。

　そして、スパイウェアはその名称からも分かるとおり、ユーザが無意識のうちにネットワークの内部に侵入してくる可能性もある。このためスパイウェア対策ツールの中でも常駐せずに、駆除するのにソフトを立ち上げてスキャンを実行するものは、情報漏えいを確実に防げるとは言えない。また、常駐するものであってもウイルス対策と個別に動作するものであれば、システムリソースの浪費を伴うモノとなってしまう。スパイウェアとウイルス対策などの組み合せにおいて、常時的な監視と防御、駆除が可能なソリューションが求められている。

　上記の2つの機能を併せ持つ統合型のセキュリティソフトを、システム管理者が一括して運用管理できれば、セキュリティレベルを統一しながら、情報漏えいの危険性のあるスパイウェアや、ボット、ネットワークウイルスなども排除できるようになる。それでは、統合型セキュリティソフトに搭載された各種の機能が、どのような効果を発揮するのか。それをシマンテックの「Symantec Client Security（以下、SCS）」を例に挙げて見ていこう。

定義ファイルと脆弱性ベースの防御で蔓延を防ぐ

　シマンテックのSCSには、従来のウイルス対策に加え、クライアントファイアウォール、そしてIPS（不正侵入防止システム）の機能が搭載されている。これらが包括的に各種の脅威からクライアントPCを守る仕組みとなっている。それぞれの機能としては、ウイルス対策を実施する「Symantec AntiVirus Corporate Edition」が、PC内部に潜むウイルス／ワーム／トロイの木馬などの脅威や、スパイウェア・アドウェアなどのセキュリティリスクをリアルタイムに検出し、安全に削除を実施する。

　ウイルス対策の基本は、既知のウイルスを検知して駆除する定義ファイルとのマッチングがベースとなっているが、同ソフトはそれ以外にもヒューリスティック（経験則）によって、ネーミングやプログラムに改編が加えられた新種や亜種など、未知の脅威の検出も可能となっている。また、有害／無害を含めてさまざまな形式のスパイウェアが登場している現状において、スパイウェア・アドウェアの存在を、リアルタイムで検出し、レジストリのクリーンナップも含めた完全な削除を、安全に行うことができる。

　一方、Symantec Client Firewallの機能では、クライアントPCが行う通信を１台ごとに監視し、許可していないポートやプロトコルの通信、許可したアプリケーション以外によるネットワークの通信を禁止する。これにより、ネットワーク感染型ワームによる通信、ウイルスのエンジンによるメール送信、スパイウェア、ボットなどによる外部への通信を禁止し、情報漏えいを防止する。インターネットエクスプローラーをはじめとする各種ブラウザのアドオン機能を利用した情報漏洩を防止するのに、JavaアプレットやActiveX、そしてCookieなどの利用を制限し、プライバシー情報の発信をコントロールすることも可能となっている。また、社外で使用されるノートPCも、帰宅後に自宅からインターネットを利用してVPN接続されている場合などを識別し、環境別にクライアントファイアウォールのルールを自動的に変更し、社外ノートPCを適切に保護する。

　そして不正侵入防止の機能では、ポートスキャンなどの不正な侵入を検知して遮断する。脆弱性を突くネットワーク型ワームやボットの感染拡大からクライアントPCを保護する。ネットワーク型ウイルスやボットがネットワークに入り込むと、LAN上に存在するほかのPCに対してポートスキャンを行う。そしてOSやアプリケーションの脆弱性を見つけ出し、自己のクローンを送り込むケースも多い。実は、このようなOSやソフトウェアの脆弱性が悪意あるユーザーが発見にされた場合、即座にそれがインターネット上に広まり、そこを狙ったウイルスが作成されたり、攻撃手法が生み出されたりするのだ。特に、ボットに関しては、外部からのコントロールを目的としているため、それが適用される確率が高い。

　このような脅威に対して、定義ファイルや従来のシグネイチャを使用したパターン検出を行うアプローチは、攻撃が現実化してからの対応になってしまう。Symantec Client SecurityのIPS機能では、脆弱性ベースで攻撃を検知する。これにより、特定の脆弱性を狙った各所の攻撃に対し、早期段階で包括的な保護が可能だ。

統合管理がルール/ポリシー統一のポイントに

　このようにSCSのような統合型セキュリティソフトでは、ウイルス対策とファイアウォール、IPSの3つの機能が統合的に作動することによって、各種の外敵の脅威からPCを安全に保護するわけであるが、もう1一つの重要なポイントが個々のPCを統合管理できるか否かにある。SCSでは、LAN内に展開されたSymantec Client Securityクライアントに対して、専用コンソールである「Symantec System Center」を利用することで、導入から運用まで管理者が各PCを一元管理できる。セキュリティポリシーに応じたルールの適用もできるようになっている。例えば、特定のソフトをはじめから不正通信の監視やスパイウェア検出の対象からはずすことも可能になるので、社内で利用している独自の業務アプリケーションや監査ツールのほか、特定のメッセンジャーソフトのみ通信を許可する設定にできる。一方で、ウイルスやスパイウェア、ボットがネットワークに侵入する原因となるPtoPアプリケーションなどの使用を禁止することもできるのだ。

　Symantec System Centerは、導入時にLAN内のクライアントマシンに対して、ウイルス定義ファイル、侵入検知シグニチャ、ファイアウォールのルール配布、各種設定の変更などを論理的なグループとしてまとめて、環境に応じた設定を適用できる。このため、営業部と技術部で利用するアプリケーションが異なる場合などにも対応できる仕組みとなっている。

　運用を開始した後は、Symantec System Centerを使って、各クライアントにおけるウイルス定義ファイルやIPSのシグネイチャ、そしてファイアウォールの透過／遮断の設定をリアルタイムで把握したり、設定を変更したりできる。また、ネットワーク型ウイルスが発生した場合にも、侵入元のコンピュータを特定できるため、即応が可能になるのだ。さらに、危険度の高いウイルスやワームが現れた場合などの緊急時には、定義ファイルやシグネチャファイルの強制アップデート機能を備えている。従来ではウイルスの大量感染を引き起こし、兼ねないケースにも対処できるのだ。

　企業内において、スパイウェア／ボット／ネットワークウイルスやワームなど進化するさまざまな脅威への対策を実施するには、複数防御策で包括的にクライアントを保護し、それを統合管理できる環境が必要となる。外部からの脅威や不正アクセスによる情報漏えい、業務効率の低減などを危惧する場合には、これらを念頭におきながらソリューションを選択したい。

前編へ