PR

三輪 信雄氏 ラック 常務 コンピュータセキュリティ研究所長
嶋倉 茜氏 ラック コンピュータセキュリティ研究所 研究員

パッチ適用が困難な場合もある
感染を前提に,被害を抑える

社内には,事情により修正プログラムの適用が困難なマシンも存在する。ワームに対して感染しやすい状態のこうしたマシンがある場合にも,被害を防ぐ手だてを講じる必要がある。社外に被害を広げ,自社の信頼を損なう恐れがあるからだ。

 社内ネットワークの中には,修正プログラムの適用が困難なサーバーやパソコンもある。修正プログラムの適用により,業務に不可欠なアプリケーションの動作が不安定になる場合などだ。また,リースされたパソコン端末の場合,納品時と同じ状態に保っていないといけないこともある。

 しかし,こうしたマシンを放置しておけば,ひとたびワームが侵入したときにほぼ間違いなく感染する。そして,社外のネットワークに向けて攻撃を始める。そこで,修正プログラムの適用ができず,ワームの攻撃に弱いマシンへの対策が必要になる。

図2 E社はワームに弱いマシン専用のセグメントで外部への攻撃を予防した
 E社は,リース中のサーバー機など修正プログラムを更新しにくいサーバーなどを特定のセグメントに集め,対策を講じた。攻撃に弱い状態にあるサーバーが社内にある場合,外部に被害を広げないための2次的な対策を施す必要がある。
 E社では,こうしたワーム被害を抑えるために,大きく三つの対策を施した(図2[拡大表示])。

独立セグメントに置いて集中管理

 まず,ワームに弱いマシンを集中管理しやすいように,(1)一つのセグメントに集める。次に,感染したマシンが外部に攻撃するのを防ぐため,(2)ワームに弱いマシンを集めたセグメントと社内ネットワークの間にファイアウォールを設置する。また,(3)ワームに弱いマシンを集めたセグメント内にIDSを設置し,ワームの侵入をいち早く検出する――。

 これらの対策は,ワームの侵入時に,それらのマシンが感染してしまうことを想定したものだ。目的は,マシンをワームから保護するのではなく,いかに外部に被害を与えないか,にある。

 E社では万全を期すため,社内から社外へ送信されるメールにワームが添付されていないかどうかも確認するようにした。社内の通常のセグメントにもIDSを設置し,ワームの活動を監視している。