PR

 現在,企業にとって最も危険な攻撃は,普段閲覧しているWebページに罠が仕掛けられ,アクセスしただけでパソコンがウイルスに侵されるというものだ。日本では,2007年に投資信託情報サイト「モーニングスター」, 福井県鯖江市や長崎県平戸市の公式サイトに罠が仕掛けられる事件が相次いで起こった。

 日本のユーザーに,さらに強烈な恐怖を植え付けたのが,2008年3月に起こったトレンドマイクロのWebページ改ざん事件である。ウイルス情報を掲載した同社のWebページにウイルスが仕込まれ,ここを閲覧したユーザーのパソコンがウイルスに感染した可能性がある。セキュリティの専門ベンダーのサイトにすらウイルスが仕掛けられるようでは,もはや安心できるサイトは世の中には存在しないと言える。

 数年前から懸念されている標的型攻撃も,さらに危険度を増している。標的型攻撃は上司や顧客,知人などを装って特定の組織や個人に対してウイルス・メールを送り付けるもの。セキュリティ組織JPCERTコーディネーションセンターの調査によれば,6%の企業が自社をターゲットにした攻撃を経験しているという。

 こうした攻撃に対処するには「(ウイルスの感染手段に使われる)JavaScriptの利用を避ける」,「QuickTimeやFlashなどマイクロソフト製品以外のソフトウエアのセキュリティ・パッチにもも気を配る」,「知人からのメールであっても添付ファイルは確実に安全と思えるものしか開かない」といった対策が必要である。

 これらの対策は,これまでにも何度となく指摘されてきており,必ずしも目新しくはない。それでも,社員の手間が増えたり,パソコンの使い勝手が悪くなるなどの理由から,分かっていても実践されないことが多かった。

 しかし,あきらめるのはまだ早い。使い方さえ心得れば,できることはいくつもある。新入社員の入社や組織変更がある4月こそ,セキュリティ対策を見直す絶好のタイミングだ。

多段にすれば緩い制約でも全体は強固に

 具体的にはどうすればよいか。最新のウイルスや攻撃に対する防御について,セキュリティ専門家の多くが「多層防御の考え方を取り入れる」(フォティーンフォティ技術研究所の鵜飼裕司副社長)ことを提案する。

 多層防御とは,一つのポイントでブロックするのではなく,第1の壁を破られたら第2の壁,そこを破られたら第3の壁という具合に,複数の壁で守る概念を指す。ウイルスに対して数多くの防御壁を設け,どこかでウイルスの動きを止めるわけだ。

 この考え方に沿えば,一つ一つの対策に完璧さを求めて使い勝手を犠牲にしなくても,ある程度緩い制限を束ねるといった運用が可能になる。例えば「JavaScriptの禁止」も,すべてのサイトのJavaScriptを禁止するのではなく,「なるべく使わないようにする」といった少し緩い規制にする。運悪くJavaScriptの実行でウイルスが入り込んできても,「ウイルスが実行ファイルの格納に使うフォルダでのプログラムの実行を禁止しておく」といった壁を作れば被害を防げる。

侵入,発病,被害拡大をブロック

 防御のポイントは三つある(図1)。1番目がインターネットと社内LANをつなぐ部分でのフィルタリングである。ここで,不正なメールや不審なWebサイトからのウイルス侵入を防ぐ。

図1●攻撃が企業に浸透する段階と防御法
図1●攻撃が企業に浸透する段階と防御法
侵入,発病,被害拡大のそれぞれに対して複数の策を講じておくことで,個人のパソコンを安全にできる。
[画像のクリックで拡大表示]

 2番目が,パソコンに送り込まれたウイルスを動作させないことである。最近はQuickTimeやFlashなどのぜい弱性が狙われる。感染させる際には,ユーザーに知人からのメールや正規のWebサイトだと思わせて添付ファイルやWebページを開かせるソーシャル・エンジニアリングが使われる。パソコンのぜい弱性を減らし,だましの手口に引っかからない対策が重要だ。

 そして最後が被害拡大の抑止である。パソコンにウイルスが入り込めば,これを起点に被害が拡大していく。ウイルスが入り込んだパソコンから機密情報を盗まれたり,このパソコンからネットワーク経由で他のパソコンやサーバーを攻撃され,感染が広がる恐れがある。ウイルスが攻撃範囲を拡大する道を断つことができれば,これが防御につながる。

 次回からは,これら三つのポイントについて具体的な対策を見ていく。中には企業のポリシーによって採用できない方法もあるだろう。それでも,多層防御の考え方に沿って,できるだけ数多くの壁を作ることが大切だ。