公開日: 2006年12月25日
ダウンロード
『Strategies for Managing Malware Risks』(英語) をダウンロードする
トピック
はじめに
この文書は、中規模ビジネス セキュリティ ガイダンスの一部として提供されています。 Microsoft は、次の情報を得ることでさらにセキュリティが強化され、より生産性の高いコンピュータ環境が皆様の組織で実現されることを望んでいます。
要点
悪意のあるソフトウェアやマルウェアがますます進化し巧妙化するに従って、マルウェアによる脅威と攻撃の防止に役立つソフトウェアおよびハードウェア テクノロジも進化しています。
中規模ビジネスにとってマルウェアの脅威は、攻撃に対する防御と対応の両面でテクノロジとその運用に非常にコストがかかるものとなっています。 中規模ビジネス環境に対する外部からの脅威の認知度は、インターネットによって大幅に高まりましたが、内部からの攻撃など、最大の脅威のいくつかも依然として存在しています。
内部からの攻撃は損害をもたらす可能性が最も高く、ネットワーク管理者など、最も信頼される地位にある内部関係者の行為によって引き起こされます。 悪意のある活動に関与する内部関係者は、システムに対する正当なアクセス権を維持する一方で、トロイの木馬を組み込んだり、ファイル システムを不正に閲覧するなど、特定の目標と目的を持つ傾向があります。 より一般的な例では、悪意を持たない内部関係者が、感染したシステムやデバイスを気付かずに内部ネットワークに接続することによって悪意のあるソフトウェアを組み込み、その結果システムの完全性/機密性を侵害したり、システム パフォーマンス、可用性、保存領域に影響を及ぼしたりすることがあります。
内部と外部の両方の脅威の分析により、多くの中規模ビジネスは、マルウェア リスクのリアルタイム管理に役立つリソースなど、ネットワークの監視と攻撃検出に役立つシステムを検討するようになりました。
概要
ここでは、中規模ビジネスにおけるマルウェア リスクの管理に役立つ戦略について説明します。 この文書は、 「はじめに」、「定義」、「課題」、「ソリューション」という 4 つの主なセクションで構成されています。
定義
このセクションでは、マルウェア (およびマルウェアでないもの) の定義、マルウェアの特徴、およびリスク管理について明確にします。
課題
このセクションでは、マルウェア リスクの管理に関連して中規模ビジネスが直面する一般的な課題の多くについて説明します。
一般的な情報システム資産
一般的な脅威
脆弱性
エンド ユーザーの教育とポリシー
リスク管理とビジネス ニーズのバランス
ソリューション
このセクションでは、ポリシー、アプローチ、および戦略に関する次のような追加情報を提供します。
物理的および論理的ポリシー
マルウェアおよびウイルス阻止の事後対応型および予防型のアプローチ
マルウェアの削減に役立つ戦略
このセクションでは、マルウェアの脅威を防ぐための戦略の一環として、マルウェア リスクの評価と管理についても説明します。 また、マルウェアの活動のスキャン、検出、報告を支援する監視および報告ツールについても情報を提供します。
対象読者
この文書は、主に中規模ビジネスの経営陣および IT 担当者が、マルウェアの脅威、これらの脅威に対する防御方法、およびマルウェア攻撃が発生した場合に迅速かつ適切に対応する方法について十分に理解できることを目的としています。
定義
マルウェアは、"悪意のあるソフトウェア (malicious software)" の略です。 マルウェアは、コンピュータ システムに対して意図的に悪意のあるタスクを実行するウイルス、ワーム、トロイの木馬などの総称です。 技術的には、マルウェアとは悪意のあるあらゆるコードを指します。
さまざまな種類のマルウェアについて理解する
以降のサブセクションでは、さまざまなマルウェアのカテゴリについて説明します。
潜伏型
トロイの木馬 : 有用なプログラムや無害なプログラムに見せかけて、隠されたコードで、実行しているシステムを悪用したりシステムに損害を与えたりするプログラム。 トロイの木馬プログラム (トロイ型コードと呼ばれることもあります) は、通常はプログラムの目的と機能を偽った電子メール メッセージによってユーザーに配布されます。 トロイの木馬プログラムは、実行されると悪意のあるペイロードやタスクを実行し、損害を与えます。
感染型のマルウェア
ワーム : ワームは自己増殖する悪意のあるコードで、ネットワーク接続を通して自動的に自己を 1 つのコンピュータから別のコンピュータに配布します。 ワームは、ネットワークやローカル システムのリソースを消費したり、サービス拒否攻撃を引き起したりといった、有害なアクションを実行します。 ユーザーの介入なしに実行および拡散するワームもありますが、拡散するにはユーザーがワームのコードを実行する必要があるものもあります。 ワームも、複製のほかにペイロードを実行させることがあります。
ウイルス : ウイルスは、それ自体の複製を明確な目的として作成されたコードを使用します。 ウイルスは、宿主になるプログラムに自己を添付することにより、別のコンピュータへの伝染を試みます。 ハードウェア、ソフトウェア、またはデータに損害を与える場合があります。 宿主プログラムが実行されると、ウイルス コードも実行されて新しい宿主に感染し、さらにペイロードを実行させることもあります。
利益目的のマルウェア
スパイウェア : このタイプのソフトウェアは、"スパイボット" または "追跡ソフトウェア" と呼ばれることもあります。 "スパイウェア" は詐欺ソフトウェアやプログラムの別形態で、ユーザーから適切な同意を得ずにコンピュータに特定の活動を指示します。 このような活動には、個人情報の収集や、インターネット ブラウザの構成設定の変更などがあります。 不快であるだけでなく、コンピュータ全体のパフォーマンスの低下から個人のプライバシーの侵害まで、多様な問題がスパイウェアによって引き起こされます。
スパイウェアを配布している Web サイトは、さまざまな手段でユーザーをだまして、スパイウェアをコンピュータにダウンロードおよびインストールさせます。 その手段には、偽のユーザー体験版を作成したり、無料のファイル共有ソフトウェアなどユーザーが欲しがりそうな別のソフトウェアに密かにバンドルする方法などがあります。
アドウェア : 広告表示ソフトウェアの一種です。具体的には、ユーザーにとって予想外で迷惑となる可能性のある方法や状況で広告コンテンツを配布することが主な目的である特定の実行可能アプリケーションを指します。 多くのアドウェア アプリケーションは、追跡機能も実行します。したがって、追跡テクノロジとして分類される場合もあります。 そのような追跡には抵抗がある、プログラムによって表示される広告を見たくない、アドウェアがシステム パフォーマンスに影響するのがいやだと感じるユーザーは、アドウェアを削除したいと考えます。 逆に、アドウェアが存在することで目的の製品やサービスのコストが抑えられる場合や、ユーザーが調べたり探したりしている製品の競合製品や補足的な製品の広告など、役に立つものや望ましいものが表示される場合は、そのアドウェア プログラムを残したいと考えるユーザーもいます。
詳細については、Wikipedia の「マルウェア」および『対ウイルス多層防御ガイド』の「マルウェアとは何か?」を参照してください。
マルウェアの動作について理解する
各カテゴリのマルウェアが示すさまざまな特性は、しばしば非常に似通っています。 たとえば、ウイルスとワームは、両方とも転送メカニズムとしてネットワークを使用します。 しかし、ウイルスが感染対象になるファイルを検索するのに対して、ワームは単に自己のコピーを試みます。 次のセクションでは、一般的なマルウェアの特徴について簡単に説明します。
標的になる環境
マルウェアがホスト システムを攻撃しようとするとき、その攻撃を成功させるためにいくつかの固有のコンポーネントが必要となる場合があります。 次のコンポーネントは、マルウェアがホストへの攻撃を開始するために必要とする一般的なコンポーネントの例です。
デバイス : 一部のマルウェアは、特定のデバイス タイプを標的にします。たとえば、パーソナル コンピュータ、Apple Macintosh のコンピュータ、またはパーソナル デジタル アシスタント (PDA) などです。 携帯電話などのモバイル デバイスが標的となるケースも増えています。
オペレーティング システム : マルウェアは、特定のオペレーティング システムでのみ効力を発揮する場合があります。 たとえば、1990 年代後半の CIH または Chernobyl ウイルスは、Microsoft Windows 95 または Windows 98 を実行しているコンピュータのみを攻撃しました。新しいオペレーティング システムほどより安全です。 残念ながら、マルウェアもまた、より巧妙になっています。
アプリケーション : マルウェアによっては、ペイロードを実行させたり自己を複製したりするために、標的のコンピュータに特定のアプリケーションがインストールされている必要があります。 たとえば、2002 年の LFM.926 ウイルスは、ローカル コンピュータで Shockwave Flash (.swf) ファイルが実行できる場合にのみ攻撃できました。
感染対象プログラム
ウイルスの場合、感染する対象 (宿主プログラムとも言います) を標的にしようとします。 標的にされる感染対象プログラムの数とタイプはマルウェアの形態によって非常に多くありますが、標的になる最も一般的なものを次のリストに示します。
実行可能ファイル : これらの感染対象は、自己を宿主プログラムに添付して増殖する "旧式の" ウイルス タイプの標的です。 .exe という拡張子を使用する一般的な実行可能ファイルのほかに、.com、.sys、.dll、.ovl、.ocx、.prg といった拡張子のファイルも 標的に使用されます。
スクリプト : Microsoft Visual Basic® Script、JavaScript、AppleScript、または Perl Script などのスクリプト言語で作成されたスクリプトを感染の標的ファイルにする攻撃です。 このタイプのファイルの拡張子には、 .vbs、.js、.wsh、.prl などがあります。
マクロ : これらの感染対象は、ワード プロセッサ、スプレッドシート、データベース アプリケーションなど、特定のアプリケーションのマクロ スクリプト言語をサポートするファイルです。 たとえば、ウイルスは Microsoft Word および Lotus Ami Pro に含まれるマクロ言語を使用して、ドキュメント中の語を入れ替えたり色を変更したりするなどのいたずらからコンピュータのハード ドライブをフォーマットするような悪意のあるものまで、さまざまな攻撃を実行できます。
転送メカニズム
攻撃には、コンピュータ システム間での複製のために 1 つまたは複数の多様な方法が使用されることがあります。 ここでは、マルウェアが使用するいくつかのより一般的な転送メカニズムについて説明します。
リムーバブル メディア : コンピュータ ウイルスおよびマルウェアで初期の頃から転送に使用され、少なくとも最近まではおそらく最も感染力が強い手段は、ファイル転送です。 このメカニズムはフロッピー ディスクと共に始まり、次にネットワークに移転して、現在ではユニバーサル シリアル バス (USB) デバイスやファイアウォールなどの新しいメディアを使用しています。 感染率はネットワークベースのマルウェアほどではありませんが、その脅威は依然として存在し、システム間でデータを交換する必要がある限り、根絶は困難です。
ネットワーク共有 : コンピュータ同士をネットワークで直接的に接続するメカニズムが実現されると、これはマルウェア作成者にとって、悪意のあるコードを拡散するうえでリムーバブル メディアの能力を超える可能性がある新たな転送メカニズムとなりました。 十分なセキュリティが実装されていないネットワーク共有は、マルウェアにとってネットワークに接続された多数のコンピュータに自己を複製できる環境となります。 リムーバブル メディアを使用する手動方式の大部分が、この方式に置き換えられています。
ピア ツー ピア (P2P) ネットワーク : P2P ファイル転送を実行するには、ユーザーはまず、ネットワークを使用する P2P アプリケーションのクライアント コンポーネントをインストールする必要があります。
詳細については、『対ウイルス多層防御ガイド』 の「マルウェアの特性」を参照してください。
マルウェアの定義に含まれないもの
悪意を持って作成されたコンピュータ プログラムではないために、マルウェアではないと見なされているさまざまな脅威も存在します。 しかし、それらの脅威は中規模ビジネスにとって、セキュリティと財政面の両方でやはり影響があります。 以下では、包括的なセキュリティ戦略を開発する場合に考慮し、理解する必要のある一般的な脅威について例を挙げて説明します。
ジョーク ソフトウェア : ジョーク アプリケーションは、笑いを誘ったり、最悪でも誰かの時間を無駄にしたりする程度の意図で作成されます。 これらのアプリケーションは、コンピュータが使用されるようになって以来存在しています。 悪意を持って開発されたものではなく明確にジョークとわかるため、このガイダンスではマルウェアとは見なしません。 ジョーク アプリケーションの例は無数にあり、面白い画面効果から楽しいアニメーションやゲームまで、実にさまざまなものが作られています。
デマ ウイルス : 実際には存在しないウイルスについて警告するいたずらメッセージは、デマ ウイルスの一例です。 他の形態のマルウェアと同様に、デマ ウイルスはソーシャル エンジニアリングを使用してコンピュータ ユーザーをだまし、何かをさせようとします。 しかし、デマ ウイルスには実行するコードがありません。デマ ウイルス作成者は通常、単に被害者をだまそうとするだけです。 デマ ウイルスの一般的な例としては、新しいタイプのウイルスが発見されたので、警告のためにこのメールを知人に転送するようにという電子メール メッセージまたはチェーン メールがあります。 このタイプのデマ ウイルスは人々の時間を浪費させ、電子メール サーバーのリソースを占有し、ネットワーク帯域幅を消費します。 ただし、デマ ウイルスがユーザーにコンピュータの構成変更を指示するような場合は (レジストリ キーやシステム ファイルを削除するなど)、その被害ももっと深刻になる可能性があります。
詐欺 : 偽りの電子メール メッセージによって受信者の個人情報 (銀行口座の情報など) を探り出し、違法な目的で使用しようとすることは、詐欺のよくある例です。 詐欺の一種として特に知られるようになったのは、"フィッシング" (発音は魚釣りと同じ) で、"ブランド詐称" または "カーディング" とも呼ばれます。
スパム : "スパム" は、サービスや製品を宣伝するために生成された迷惑メールです。 一般的には迷惑と見なされますが、スパムはマルウェアではありません。 しかし、送信されるスパム メッセージの激増はインターネットのインフラストラクチャにとっては問題です。 スパムは、そのようなメッセージを毎日選別して削除しなければならない従業員の生産性低下も招いています。
インターネット Cookie : インターネット Cookie とは、ユーザーが訪問した Web サイトによってユーザーのコンピュータ上に作成されるテキスト ファイルです。 Cookie には、その Web サイトがユーザーの識別に使用する情報が含まれています。そのほかには、そのユーザーのアクセスに関してサイトが保持しようとするあらゆる情報が含まれます。
Cookie は、アクセスしたユーザーの情報を追跡するために使用する正当なツールで、多くのサイトで利用されています。 残念ながら、一部の Web サイト開発者が Cookie を悪用して、ユーザーの知らない間に情報を収集していたことが判明しています。 Web サイト開発者の中にはユーザーをだましたり、ポリシーを無視したりしている開発者がいる可能性があります。 たとえば、ユーザーに通知しないで、他の Web サイトに対するネット サーフィンの習慣を追跡することができます。 サイトの開発者はこの情報を使用して、そのユーザーが Web サイトで見る広告をカスタマイズ化できますが、これはプライバシーの侵害と見なされます。
マルウェアとその特徴に関するその他の詳細情報については、Microsoft TechNet の『対ウイルス多層防御ガイド』を参照してください。
リスク管理とマルウェアについて理解する
マイクロソフトでは、リスクを特定し、これらのリスクの影響を判断するプロセスとしてリスク評価を定義しています。
セキュリティ リスク管理の計画を設定しようとする場合、それが中規模ビジネスにとって大きな負担となる場合があります。 その要因としては、社内に専門家がいない、予算の問題、またはアウトソーシングするためのガイドラインがない、などが考えられます。
セキュリティ リスク管理は、中規模ビジネスがマルウェアの脅威に対抗する戦略を計画できるように支援する予防型のアプローチを提供します。
正式なセキュリティ リスク管理プロセスによって、ビジネス リスクを既知の許容可能なレベルに保ちながら、コスト効率の最も高い方法で事業を行うことができます。 また、リスクを管理するために、限られたリソースを一貫した明確な手順で整理して優先順位を付けることができます。
リスク管理のタスクを容易にするために、マイクロソフトでは『セキュリティ リスク管理ガイド』を作成し、次の 4 つのプロセスに関するガイダンスを提供しています。
リスクの評価 : ビジネスのリスクを特定して優先順位を設定します。
意思決定支援の実行 : 定義された費用対利益分析プロセスに基づいて、制御ソリューションを特定し評価します。
制御の実装 : 制御ソリューションを展開および運用して、ビジネスのリスク低減に役立てます。
プログラムの効果の測定 : リスク管理プロセスの効果を分析して、制御によって必要なレベルの保護が行われていることを確認します。
このトピックの詳細については、この文書では取り上げません。 ただし、概念とプロセスを理解することは、マルウェア リスクのソリューション戦略の計画、展開、および実装に不可欠です。 次の図は、リスク管理の 4 つの主なプロセスを示したものです。
.gif)
図 1. 4 つの主なリスク管理プロセス
.gif){kind=link}
リスク管理の詳細については、Microsoft TechNet の「セキュリティ リスク管理ガイド」を参照してください。
課題
マルウェア攻撃は、特定の弱点に対してさまざまな経路や攻撃方法で展開される可能性があります。 自社の脆弱性プロファイルを決定するだけでなく、会社にとって許容可能なリスク レベルの判断に役立つリスク評価を行うことをお勧めします。 中規模ビジネスは、マルウェア リスクの低減に役立つ戦略を開発する必要があります。
中規模ビジネス環境でマルウェア リスクを低減するための課題には、次のものがあります。
一般的な情報システム資産
一般的な脅威
脆弱性
ユーザー教育
リスク管理とビジネス ニーズのバランス
一般的な情報システム資産
情報システム セキュリティは、中規模ビジネスのセキュリティの管理に役立つ基本的な情報を提供します。 一般的な情報システム資産とは、会社の物理面と論理面の両方を指します。 これには、サーバー、ワークステーション、ソフトウェア、およびユーザー ライセンスなどが含まれます。
従業員の業務取引先データ、モバイル コンピュータ、ルーター、人事データ、戦略計画、内部 Web サイト、および従業員のパスワードは、すべて一般的な情報システム資産です。 詳細な一覧は、この文書の最後にある「付録 A : 一般的な情報システム資産」に記載されています。
一般的な脅威
マルウェアが組織のセキュリティを侵害する手口のいくつかは、しばしば "脅威の経路" と呼ばれ、マルウェア リスクの低減に役立つ効果的なソリューションを設計する際に最も注意を要する領域です。 一般的な脅威には、自然災害、機械の故障、悪意のある人物、ユーザーに十分な知識がない、ソーシャル エンジニアリング、悪意のあるモバイル コード、従業員の不満などがあります。 このようにさまざまな脅威が、中規模ビジネスだけでなく、あらゆる規模のビジネスにとって課題となります。
この文書の最後にある「付録 B : 一般的な脅威」には、中規模ビジネスに影響を及ぼす可能性のある脅威の詳細な一覧が記載されています。
脆弱性
脆弱性とは、IT システムのセキュリティ手順およびポリシー、管理制御、物理的レイアウト、内部制御、および脅威によって情報への不正アクセスや重要な処理の妨害に悪用される可能性のあるその他の領域における弱点のことです。 脆弱性には物理的なものと論理的なものがあり、たとえば自然災害、機械の故障、ソフトウェアの構成ミス、ソフトウェアに更新プログラムが適用されていないこと、および人為的なミスなどが含まれます。 この文書の最後にある「付録 C : 脆弱性」には、中規模ビジネスに影響を及ぼす可能性のある脆弱性の詳細な一覧が記載されています。
ユーザー教育
物理的および論理的な情報セキュリティに関する最大の脆弱性は、必ずしもコンピュータやソフトウェアの欠陥ではなく、コンピュータ ユーザーにあります。 従業員には、他人から見える場所にパスワードをメモする、ウイルスを含む電子メールの添付ファイルをダウンロードして開く、夜間にコンピュータをシャットダウンしない、などの行動が見られる場合がありますが、これらは明らかに過ちです。 人の行動はコンピュータ セキュリティに大きく影響するため、従業員、IT スタッフ、および経営陣の教育は最優先課題です。 同時に、全従業員がセキュリティに関する正しい習慣を身に付ける必要があります。 このようなアプローチは、長期的に見て単純にコスト効率が高い方法です。 トレーニングでは、悪意のある活動を回避することをユーザーに推奨し、潜在的な脅威とそれらを回避する方法を教育する必要があります。 ユーザーが注意する必要のあるセキュリティ プラクティスには次のものがあります。
財務情報や個人情報の提供を求める電子メールには返信しない
パスワードを教えない
疑わしい電子メールの添付ファイルは開かない
疑わしい電子メールまたは不要な電子メールには返信しない
承認されていないアプリケーションをインストールしない
コンピュータをあまり使用していないときは、スクリーン セーバーをパスワードで保護したり、Ctrl+Alt+Del キーを押して表示されるダイアログ ボックスを使用してコンピュータをロックする
ファイアウォールを有効にする
リモート コンピュータでは強力なパスワードを使用する
ポリシー
文書化されたポリシーと承認された手順は、セキュリティ プラクティスの実施を支援するために不可欠です。 IT ポリシーを有効なものにするためには、すべてのポリシーについて経営上層部のサポートを得ることと、規制メカニズム、ユーザーへの周知方法、およびユーザーの教育方法をポリシーで規定することが必要です。 模範的なポリシーは、たとえば次のようなトピックについて規定しています。
コンピュータでマルウェアを検出する方法
感染の疑いを報告する方法
インシデント処理の担当者を支援するためにユーザーにできること (システムが感染する前にユーザーが行った最後の操作など)
マルウェアに悪用される可能性のあるオペレーティング システムおよびアプリケーションの脆弱性を強化するためのプロセスと手順
パッチ管理、セキュリティ構成ガイドの適用、およびチェックリスト
リスク管理とビジネス ニーズのバランス
リスク管理プロセスに投資すると、中規模ビジネスにとって、優先順位を明確にし、脅威への対策を計画し、ビジネスに対する次の脅威や脆弱性に対処するための準備につながります。
予算の制約が IT セキュリティへの経費に影響する場合もありますが、よく構成されたリスク管理方法を効果的に使用すれば、ビジネスに不可欠なセキュリティ機能を備えるための適切な管理が経営陣にも明確になります。
中規模ビジネスでは、リスク管理とビジネス ニーズの微妙なバランスをよく検討する必要があります。 次の質問は、リスク管理とビジネス ニーズのバランスを検討する際に役立ちます。
自社のシステムを独自に構成する必要がありますか、それともハードウェア/ソフトウェアの販売元に構成を依頼する必要がありますか。 コストはいくらかかりますか。
アプリケーションの高可用性を保証するメカニズムとして負荷分散またはクラスタリングを使用する必要がありますか。 これらのメカニズムを導入するには何が必要ですか。
サーバー ルームには警報システムが必要ですか。
建物またはサーバー ルームに電子キー システムを使用する必要がありますか。
会社のコンピュータ システム予算はいくらですか。
会社の技術サポートおよび保守予算はいくらですか。
昨年、会社がコンピュータ システム(ハードウェア/ソフトウェアの保守) に投じた金額は推定でいくらですか。
本社には何台のコンピュータがありますか。 コンピュータ ハードウェアおよびソフトウェアの一覧表がありますか。
古いシステムには、必要な大半のソフトウェアを実行するための十分な性能がありますか。
新しいコンピュータやアップグレードされたコンピュータは、推定で何台必要ですか。 最適化する必要のあるコンピュータは何台ですか。
ユーザー 1 人に 1 台プリンタが必要ですか。
リスク管理の詳細については、「セキュリティ リスク管理ガイド」を参照してください。
ソリューション
このセクションでは、マルウェアへの事後対応型および予防型のアプローチや、物理的および論理的ポリシーなど、マルウェア リスクの管理に役立つさまざまな戦略について説明します。 報告ツールや監視などの確認方法についても説明します。
マルウェアの削減戦略を立てる
マルウェアの削減に役立つ戦略を立てる場合、必要となる運用上の主要ポイントを定義し、それに基づいてマルウェアの検出と阻止を実装することが重要です。 マルウェア リスクの管理に関しては、単一のデバイスまたはテクノロジだけを唯一の防御線として頼るべきではありません。 推奨される方法には、ネットワーク全体で予防型のメカニズムと事後対応型のメカニズムを使用した階層的なアプローチが盛り込まれている必要があります。 ウイルス対策ソフトウェアは、この分野で重要な役割を果たしますが、マルウェア攻撃を判別するのにこれだけに依存することは避けてください。 階層的なアプローチの詳細については、『対ウイルス多層防御ガイド』の「マルウェアに対する防御方法」を参照してください。
次の運用上の主要ポイントについて、さらに詳細に説明します。
マルウェア リスクを評価する
物理的なセキュリティ
論理的なセキュリティ
予防型と事後対応型のポリシーおよび手順
展開と管理
マルウェア リスクを評価する
マルウェア リスクを評価する場合、中規模ビジネスでは、脅威に対して最も脆弱な攻撃経路に注意する必要があります。 これらの経路は、どのような方法でどの程度保護されているでしょうか。 次の質問について検討する必要があります。
会社にファイウォールが設置されていますか。
ファイアウォールは、境界防御の重要な部分です。 一般的にネットワーク ファイアウォールは、組織のコンピュータ システム、ネットワーク、および重要な情報への外部からの脅威に対する防御の最前線として機能します。 中規模ビジネスでは、ソフトウェア ファイアウォールであれハードウェア ファイアウォールであれ、何らかのファイアウォールを実装する必要があります。
社内または社外に脆弱性スキャン分析機能を備えていますか。 スキャンされた情報はどのように分析されますか。
構成ミスや脆弱性のスキャンには、Microsoft Baseline Security Analyzer (MBSA) などのツールをお勧めします。 セキュリティ環境を評価し、必要に応じて改善するための提案を行う外部ベンダを採用することによって、セキュリティ上の脆弱性をテストするプロセスをアウトソーシングすることもできます。
注 MBSA は、IT プロフェッショナル向けに設計された使いやすいツールです。中小規模ビジネスではこのツールを使用して、マイクロソフトのセキュリティ推奨事項を基準に自社のセキュリティ状態を判断することができます。 このツールには、具体的な改善ガイダンスも用意されています。 MBSA を使用して、コンピュータ システムで一般的なセキュリティの構成ミスやインストールされていないセキュリティ更新プログラムを検出することによって、セキュリティ管理プロセスを改善してください。
バックアップと復元の評価計画は準備されていますか。
バックアップ計画があることと、バックアップ サーバーが効果的に機能していることを確認します。
会社にはウイルス対策ソフトウェアが何種類ありますか。 すべてのシステムにウイルス対策ソフトウェアがインストールされていますか。
ウイルス対策パッケージにはそれぞれの長所と短所があるため、単一のウイルス対策プラットフォームに依存すると、会社がリスクにさらされる危険性があります。
会社にワイヤレス ネットワークが実装されていますか。 実装されている場合、ワイヤレス ネットワークのセキュリティは有効で、適切に構成されていますか。
有線ネットワークが完全にセキュリティで保護されていても、セキュリティで保護されていないワイヤレス ネットワークがある場合、それが原因で許容レベルを超えるリスクがもたらされる可能性があります。 WEP などの古いワイヤレス標準は侵害されやすいため、調査を行って、最も適切なワイヤレス セキュリティ ソリューションが導入されている状態にする必要があります。
従業員はマルウェアを阻止する方法についてトレーニングを受けていますか。 従業員はマルウェア リスクに関して教育を受けていますか。
マルウェアが伝搬する最も一般的な状況では何らかの形でソーシャル エンジニアリングがかかわっていますが、ソーシャル エンジニアリングの脅威に対する最も効果的な防御方法が教育です。
マルウェアの脅威の阻止方法または対処方法に関するポリシーが文書化されていますか。 ポリシーが見直される頻度はどのくらいですか。 ポリシーは実施されていますか。 スタッフはポリシーにきちんと従っていますか。
マルウェアの脅威を回避する方法およびマルウェアの阻止についてユーザーがトレーニングを受けていることを確認します。 この情報がすべて文書化されていることが非常に重要です。上記の情報に関連する文書化されたポリシーおよび手順が確立されていることを確認し、強化する必要があります。 変更が発生するたびにこのポリシーの見直しを行い、記載されているポリシーの効果と妥当性を確認してください。
物理的なセキュリティ
物理的なセキュリティでは、改ざん、盗難、人為的なミス、およびこれらの行為の結果引き起こされるダウンタイムを防止するために、機器へのアクセスを制限する必要があります。
物理的なセキュリティはマルウェアに限定した問題というよりも、むしろ一般的なセキュリティの問題ですが、組織のインフラストラクチャ内のすべてのクライアント、サーバー、およびネットワーク デバイスに対する効果的な物理的防御の計画なしに、マルウェアからの保護を行うことは不可能です。
効果的な物理的防御を計画するために考慮する必要のある重要な要素を次に示します。
建物のセキュリティ : 建物に入ることができるのは誰か。
個人のセキュリティ : 従業員のアクセス権をどの程度制限するか。
ネットワーク アクセス ポイント : ネットワーク機器にアクセスできるのは誰か。
サーバー コンピュータ : サーバーへのアクセス権があるのは誰か。
ワークステーション コンピュータ : ワークステーションへのアクセス権があるのは誰か。
これらの要素のいずれか 1 つでも侵害されると、マルウェアが外部および内部ネットワーク防御の境界をバイパスしてネットワーク上のホストに感染するリスクは増加します。 施設への立ち入りとコンピュータ システムへのアクセスの保護は、セキュリティ戦略の基本的な要素です。
詳細については、Microsoft TechNet の「5 ミニッツ セキュリティ アドバイザ - 基本の物理的なセキュリティ」を参照してください。
論理的なセキュリティ
中規模ビジネスの情報システムをソフトウェアで保護する方法には、ユーザー ID とパスワードによるアクセス、認証、およびアクセス権があり、マルウェア リスクの管理にはこれらすべてが不可欠です。 これらの保護手段によって、権限のあるユーザーのみがネットワーク上の特定のサーバーまたはワークステーションで操作を実行したり情報にアクセスできるようにすることが可能になります。 管理者は、各コンピュータ ユーザーの業務に合致した方法でシステムが構成されるようにする必要があります。 これらの保護手段の構成では、次の点を考慮します。
プログラムまたはユーティリティの使用を、職務上必要なユーザーのみに制限すること
主要なシステム ディレクトリに対する制御の強化
監査レベルの強化
特権ポリシーの使用を最小限にすること
フロッピー ディスクなどのリムーバブル メディアの使用制限
バックアップ サーバー、メール サーバー、およびファイル サーバーの管理者権限を与えられる必要があるのは誰か。
人事関係のフォルダへのアクセスを許可する必要があるのは誰か。
部門間にまたがるフォルダに対してはどのような特権を与えるべきか。
ワークステーションを別のユーザーが使用できるようにする必要があるか。 その場合は、どのレベルのアクセスを許可する必要があるか。 ユーザーに、各自のワークステーションへのソフトウェア アプリケーションのインストールを許可するか。
ユーザー ID、ログオン ID またはアカウント、およびユーザー名は、複数のユーザーがアクセスできるコンピュータ プログラムまたはネットワークのユーザーの一意の個人識別子です。 認証とは、エンティティまたはオブジェクトが本物であることを検証するためのプロセスです。 たとえば、デジタル署名の検証やユーザーまたはコンピュータの ID の検証など、ソースおよび情報の整合性の確認がこの例です。 セキュリティを向上させるために、すべてのログオン アカウントにパスワードを設定することを強くお勧めします。パスワードは、リソースまたはコンピュータへのアクセスを制御するために使用される秘密の認証データです。 ユーザーがネットワークへのログオンに成功した後、適切なアクセス権が定義される必要があります。 たとえば、ある特定のユーザーは人事フォルダにアクセスできますが、読み取りアクセスのみが許可されているため、変更を行うことはできません。
その他の論理的なセキュリティの問題には、次のものがあります。
パスワードの有効期間や複雑さなどのパスワード ガイドライン
データおよびソフトウェアのバックアップ
機密情報/機密性の高いデータ - 適宜暗号化を使用
適切な使用法と許容レベルのリスクに対応する適切な認証および承認機能を整備する必要があります。 ワークステーションだけでなくサーバーにも注意してください。 前述の論理的なセキュリティの要素はすべて明確に文書化して実施し、基準点として全社的に使用できるようにする必要があります。
予防型と 事後対応型のポリシーおよび手順
マルウェア リスクの管理には、 予防型と事後対応型の 2 つの基本的なアプローチが使用されます。 予防型のアプローチには、ホストベースまたはネットワークベースの攻撃によるシステムの侵害を防止する目的で行うあらゆる対策が含まれます。 事後対応型のアプローチとは、自社のシステムの一部が侵入者または攻撃プログラム (トロイの木馬やその他のマルウェアなど) によって侵害されたことを検出した後に行われる手順を指します。
事後対応型のアプローチ
システムまたはネットワークのセキュリティが侵害された場合、インシデント対応プロセスが必要になります。 インシデント対応とは、問題を調査し、原因を分析し、影響を最小限に抑え、問題を解決し、行った対応のすべての手順を文書化して将来参照できるようにする方法です。
各企業は、将来のビジネス上の損失を防止するために何らかの対策を講じると同時に、予防策が効果を発揮しなかった場合や予防策が用意されていなかった場合にそのような損失に対応するための計画も準備しています。 事後対応型の方法には、障害回復計画、セキュリティを侵害されたシステムのオペレーティング システムおよびアプリケーションの再インストール、別の場所にある代替システムへの切り替えなどがあります。 一連の適切な事後対応策を準備し、すぐに実装できるようにしておくことは、予防策を講じることと同様に重要です。
次の事後対応策の階層図は、マルウェアのインシデント処理の手順を示したものです。 これらの手順の詳細については、以下で説明します。
.gif)
図 2. 事後対応策の階層
.gif){kind=link}
人命を保護して人の安全を確保する。 影響を受けるコンピュータに生命維持システムが含まれている場合、これをシャットダウンさせることはできません。 ルーターとスイッチを再構成すれば、患者の生命維持装置を中断させることなくネットワーク上でシステムを論理的に分離できるはずです。
被害の拡大を阻止する。 攻撃による損害を抑制することによって、損害の拡大を食い止めることができます。 重要なデータ、ソフトウェア、ハードウェアは即座に保護してください。
損害を評価する。 攻撃を受けたサーバーのハード ディスクの複製をすぐに作成し、後でフォレンシック分析に使用するために別の場所に保管します。 次に、損害を評価します。
損害の原因を判別する。 攻撃の原因を確認するには、攻撃目標とされたリソースが何かと、アクセスの取得やサービスの妨害を行うために悪用された脆弱性は何かを理解する必要があります。 トラフィックをルーティングするネットワーク デバイスだけでなく、直接影響を受けたシステムのシステム構成、更新プログラム レベル、システム ログ、監査ログ、および監査記録を確認します。
損害を修復する。 通常業務への復旧と、攻撃で失われた全データの復元のために、できる限り迅速に損害を修復することが非常に重要です。
対応と更新のポリシーを確認する。 文書化フェーズと回復フェーズが完了した後は、対応および更新ポリシーを全面的に検討する必要があります。
ネットワーク上のシステムがウイルスに感染した場合はどう対処するべきでしょうか。 事後対応型のアプローチの例を次に示します。
設置されているファイアウォールが機能していることを確認する。 システムおよびネットワーク上の通信トラフィックを完全に制御します。
最も疑わしいものから先に対処する。 最も一般的なマルウェアの脅威を取り除いてから、未知の脅威を確認します。
感染したシステムを分離する。 感染したシステムをネットワークおよびインターネットから切り離します。 これにより、ウイルス駆除プロセス中にネットワーク上の他のシステムに感染が拡大することを防ぎます。
感染拡大防止および駆除の技術を調査する。
ウイルス対策ソフトウェア ベンダから最新のウイルス定義をダウンロードする。
ウイルス対策システムが、すべてのファイルをスキャンする構成になっていることを確認する。
フル システム スキャンを実行する。
喪失データまたは破損データを復元する。
感染ファイルを削除するか、または感染ファイルからマルウェアを駆除する。
コンピュータ システムからマルウェアが駆除されたことを確認する。
駆除が済んだコンピュータ システムをネットワークに再接続する。
注すべてのコンピュータ システムで、最新のウイルス対策ソフトウェアと、ウイルス定義を定期的に更新する自動プロセスが実行されていることを確認することが重要です。 モバイル ワーカーが使用するポータブル コンピュータのウイルス対策ソフトウェアを定期的に更新することは特に重要です。 組織の最も重要なシステム (インターネットにアクセスが可能なシステム、ファイアウォール、内部ルーター、データベース、およびバック オフィス サーバー) にどの更新プログラムが適用されているかを管理するデータベースまたはログを保持してください。
予防型のアプローチ
予防型のリスク管理アプローチには、事後対応型のアプローチよりも多数の長所があります。 問題の発生を待ち、その後に対応するのではなく、問題が発生する可能性を最小限に抑えることができます。 マルウェアによって脆弱性が悪用されるリスクを軽減する制御を実装することで、組織の重要な資産を保護する計画を作成する必要があります。
効果的な予防型のアプローチにより、中規模ビジネスは将来発生するセキュリティ インシデントの数を減らすことができますが、このような問題が完全になくなることはありえません。 したがって、インシデント対応プロセスの改善を続けながら、同時に長期的な予防型のアプローチを開発する必要があります。 マルウェア リスクの管理に役立つ予防策の例をいくつか次に示します。
ベンダの推奨に従って、最新のファームウェアをハードウェア システムおよびルーターに適用する。
最新のセキュリティ更新プログラムをサーバー アプリケーションおよびその他のアプリケーションに適用する。
ベンダから配信されるセキュリティ関連の電子メール リストに登録し、推奨された場合は更新プログラムを適用する。
すべてのマイクロソフト コンピュータ システムで最新のウイルス対策ソフトウェアが実行されていることを確認する。
ウイルス定義を定期的に更新する自動プロセスが実行されていることを確認する。
注 モバイル ワーカーが使用するポータブル コンピュータのウイルス対策ソフトウェアを定期的に更新することは特に重要です。
どの更新プログラムが適用されているかを管理するデータベースを保持する。
セキュリティ ログを確認する。
境界ファイアウォールまたはホストベースのファイアウォールを有効にする。
Microsoft Baseline Security Analyzer などの脆弱性スキャナを使用してコンピュータ システムをスキャンし、一般的なセキュリティの構成ミスやインストールされていないセキュリティ更新プログラムを検出する。
最小限の特権を持つユーザー アカウント (LUA) を使用する。 低い特権を持つプロセスが侵害された場合、高い特権を持つプロセスに比べて損害が少なくて済みます。 したがって、日常業務を実行する際に管理者アカウントではなく管理者以外のアカウントを使用することで、ホストからのマルウェア感染、外部または内部からのセキュリティ攻撃、システム セットアップと構成に対する偶発的または意図的な変更、および機密プログラムまたは文書への偶発的または意図的なアクセスに対する保護が強化されます。
強力なパスワード ポリシーを実施する。 強力なパスワードは、攻撃者が特権を昇格させるために行うブルート フォース攻撃の可能性を低減します。 強力なパスワードには、一般的に次のような特徴があります。
15 文字以上。
アカウント名、実名、会社名がどんな形でも含まれていない。
完全な単語、俗語、またはその他のすぐに分かるような用語が含まれていない。
以前のパスワードと内容が大幅に異なり、数字が増えるだけのものではない。
次の文字の種類のうち 3 つ以上を使用している。
大文字 (A、B、C...)
小文字 (a、b、c...)
数字 (0、1、2...)
英数字以外の記号 (@、&、$...)
Unicode 文字 (€、ƒ、λ...)
パスワード ポリシーの詳細については、Microsoft TechNet の「パスワードのヒント集」を参照してください。
多層防御
中規模ビジネス環境における予防型のマルウェア リスクの管理アプローチでは、階層的な多層防御アプローチを使用して外部および内部の脅威からリソースを保護する必要があります。 多層防御 (縦深防御または多層セキュリティと呼ばれることもあります) は、セキュリティ対策を何重にも張り巡らせて、障害が発生するポイントが 1 つもない、凝集性の高いセキュリティ環境を形成することを意味します。 多層防御戦略を形成するセキュリティ層の 1 つとして、外部ルーターからリソースの場所までとその間にあるすべてのポイントに保護対策を展開する必要があります。 複数のセキュリティ層を展開することで、1 つの層が侵害されても、他の層のセキュリティによってリソースが確実に保護されるようになります。
このセクションでは、多層防御セキュリティ モデルについて説明します。このモデルは、多層防御の概念を理解するための開始点として最適です。 このモデルではセキュリティ防御を 7 つのレベルに区分し、中規模ビジネスのセキュリティを脅かす試みが、堅牢な防御策のセットによって遮断されるようになっています。 各セットには、多くの異なるレベルにおいて攻撃を防ぐための機能があります。
各層の定義の詳細は、組織のセキュリティの優先順位および要件に基づいて変更できます。 次の図は、多層防御モデルの各層を示したものです。
.gif)
図 3. 多層防御セキュリティ モデル
.gif){kind=link}
データ : データ層のリスクは、攻撃者が構成データ、組織データ、または組織が使用するデバイス固有のデータにアクセスするために悪用する可能性のある潜在的な脆弱性に起因します。
アプリケーション : アプリケーション層のリスクは、攻撃者が実行中のアプリケーションにアクセスするために悪用する可能性のある潜在的な脆弱性に起因します。 マルウェア作成者がパッケージ化できるオペレーティング システム以外のすべての実行可能コードは、システムの攻撃に使用される可能性があります。
ホスト : この層は通常、マルウェアの脅威を解決するために Service Pack および更新プログラムの提供ベンダが対象とする層です。 この層のリスクは、ホストまたはデバイスが提供するサービスにおける脆弱性を悪用する攻撃者に起因します。
内部ネットワーク : 企業の内部ネットワークにおけるリスクは、この種類のネットワークを介して伝送される機密データに大きく関係しています。 これらの内部ネットワーク上のクライアント ワークステーションに関する接続性要件も、いくつかの点でリスクに関連します。
境界ネットワーク : 境界ネットワーク層に関連するリスクは、攻撃者がワイド エリア ネットワーク (WAN) およびそれらが接続するネットワーク層にアクセスすることで生じます。
物理的なセキュリティ : 物理層におけるリスクは、攻撃者が物理的な資産に対して物理的にアクセスできるようになることに起因します。
ポリシー、手順、および認識 : セキュリティ モデルのすべての層を取り囲むのはポリシーと手順です。中規模ビジネスでは、各レベルの要件を満たしてサポートするためのポリシーと手順を導入する必要があります。
データ、アプリケーション、およびホストの各層は、2 つの防御戦略 (企業のクライアントおよびサーバーの保護) に組み込むことができます。 この 2 つの防御策では多くの戦略が共通しますが、クライアント防御とサーバー防御の実装における違いによって、それぞれが固有の防御アプローチとなっています。
内部ネットワークと境界の各層も、関連するテクノロジが両方の層で同一であるため、共通のネットワーク防御戦略に結合できます。 組織のインフラストラクチャ内でのデバイスおよびテクノロジの占める位置によっては、実装の詳細は各層で異なるものになります。 多層防御の詳細については、『対ウイルス多層防御ガイド』の「第 2 章 : マルウェアの脅威」を参照してください。
展開と管理
マルウェア リスクの管理戦略は、この文書でこれまでに説明したすべてのテクノロジおよびアプローチで構成することができます。 信頼性の高い、十分な機能を備えたウイルス対策ソフトウェアをすべてのシステムに展開することをお勧めします。 Windows Defender は、スパイウェアなどの迷惑ソフトウェアが原因で発生するポップアップ表示、パフォーマンス低下、およびセキュリティの脅威からコンピュータを保護することによって生産性の低下を防止するマイクロソフトのツールで、ウイルス対策ソフトウェアと併用する必要があります。 実際、これらはオペレーティング システムのインストール後にできるだけ早く展開する必要があります。 マルウェアの検出および阻止の効果を維持するには、ウイルス対策ソフトウェアの最新の更新プログラムを直ちに適用して構成する必要があります。 総合的なセキュリティ ソリューションとして依存できる単一のアプローチは存在しないため、ファイアウォール、ゲートウェイ、侵入検出、およびこれまでのセクションで説明したその他のセキュリティ ソリューション テクノロジをウイルス対策ソフトウェアと組み合わせて強化する必要があります。
このセクションでは、検証、監視と報告、および利用可能なテクノロジについて説明します。
検証
前述のマルウェア リスクの管理アプローチおよびテクノロジを研究して実装した場合、それらが効果的に展開されていることをどのようにして検証すればよいでしょうか。
提案したソリューションを検証するには、ネットワークおよびシステム環境の検証を支援する次のツールを使用します。
ウイルス対策 : 最新のウイルス定義ファイルを適用したウイルス対策ソフトウェアを使用して、すべてのシステムでウイルスをスキャンします。
Windows Defender : Windows Defender を使用して、すべてのシステムでスパイウェアなどの迷惑ソフトウェアをスキャンします。
Microsoft Baseline Security Analyzer (MBSA) : 一般的なセキュリティの構成ミスの特定に役立つ MBSA を使用してすべてのシステムをスキャンします。 詳細については、「Microsoft Baseline Security Analyzer (MBSA)」を参照してください。
さらに、新しく作成して適切なアクセス許可を付与したアカウントは、テストおよび検証を行って意図したとおりに機能することを確認する必要があります。
戦略および実装したテクノロジが検証済みの場合は、セキュリティの効果を継続させるために必要に応じてソフトウェアおよびハードウェアの更新プログラムを適用します。 ユーザーおよび特に IT 担当者は、常に最新の更新プログラムが適用された状態を維持する必要があります。
監視と報告
ネットワーク内のすべてのデバイスの継続的な監視は、マルウェア攻撃を検出するために不可欠です。 監視は、複雑なプロセスになる可能性があります。 監視プロセスでは、通常とは異なる動作の識別に使用できる "通常" 動作の基準を作成するために、多数のソース (ファイアウォール、ルーター、スイッチ、およびユーザーからの各ログなど) から情報を収集する必要があります。
中規模ビジネス環境におけるマルウェアの監視および報告戦略には、テクノロジとユーザー教育を組み込む必要があります。
テクノロジとは、中規模ビジネスがマルウェア活動を監視および報告し、それに対応できるように支援する、適切に展開され実装されたハードウェアおよびソフトウェア テクノロジを指します。 ユーザー教育とは、マルウェア インシデントの防止、回避、およびインシデントの適切な報告方法に関するユーザー向けのガイダンスを含む意識向上プログラムを指します。
テクノロジ 警告監視システムを自動化して、中央の場所またはユーザーに対応方法を指示できる適切な担当窓口にマルウェア感染の疑いが報告されるようにすることが可能です。 自動化された警告システムによって、初期警告からユーザーがマルウェアの脅威を認識するまでの遅延は最小化されますが、この方法の問題点は、"誤検出" の警告が生成されることです。 警告の選別を誰も行わず、通常と異なる動作に関する報告のチェックリストを誰もレビューしない場合、実際には存在しないマルウェアに対する警告が行われる可能性は高くなります。 このような状況は、ユーザーが頻繁に生成される警告に対してすぐに鈍感になり、それを当然と思うことにつながる可能性があります。
ネットワーク管理チームのメンバに、会社が使用するすべてのシステム監視ソフトウェアまたはウイルス対策パッケージからの自動化されたマルウェア警告をすべて受信する責任を割り当てると有効な場合があります。 これにより担当者またはチームは、ユーザーに警告を送信する前に、自動化されたシステムから受信した誤検出警告を除外することができます。
マルウェア ソリューションを定期的に見直して最新の状態に保つことをお勧めします。 自動化された単純なウイルス定義ファイルのダウンロードから運用ポリシーの大幅な変更まで、対マルウェア保護のすべての側面が重要です。 次のツールの一部については既に説明しましたが、これらはセキュリティの管理、監視、および報告に不可欠です。
ネットワーク侵入検知 (NID) : 境界ネットワークは外部にさらされている部分が非常に多いネットワークであるため、ネットワーク管理システムが可能な限り早期に攻撃を検出および報告できることが重要になります。
Microsoft Baseline Security Analyzer (MBSA) : MBSA を使用して、一般的なセキュリティの構成ミスやインストールされていないセキュリティ更新プログラムをコンピュータ システムで検出することによって、セキュリティ管理プロセスを改善してください。
ウイルス対策 定義ファイル スキャナ : ほとんどのウイルス対策プログラムは、現在この技術を使用しています。これは対象 (ホスト コンピュータ、ディスク ドライブ、またはファイル) をスキャンして、マルウェアであることを示す可能性があるパターンを探すものです。
SMTP ゲートウェイ スキャナ : これらの SMTP (Simple Mail Transfer Protocol) ベースの電子メール スキャン ソリューションは通常、ウイルス対策 "ゲートウェイ" ソリューションと呼ばれています。 これらには、特定の電子メール サーバー製品と結び付くのではなく、すべての SMTP 電子メール サービスと共に機能できるという長所があります。
ログ ファイル : ファイル アクセスの詳細が記載されたファイルがサーバーに保存され、管理されます。 ログ ファイルを分析することで、Web サイト トラフィックに関する有用なデータが明らかになります。
イベント ビューア : ドライバ障害、ファイル エラー、ログオン、ログオフなど、エラーやその他のイベントを報告する管理ツールです。
Microsoft Windows Defender : スパイウェアなどの迷惑ソフトウェアが原因で発生するポップアップ表示、パフォーマンス低下、セキュリティ上の脅威からコンピュータを保護するプログラムです。 このプログラムには、リアルタイム保護機能、検出されたスパイウェアに対するアクションを推奨する監視システム、ユーザーの作業の中断を最小限に抑えて生産性を維持できるシンプルな新しいインターフェイスが備わっています。
Internet Explorer 7 の動的なセキュリティ保護の使用。
スキャンや最新の更新プログラムの適用を支援するその他の推奨ツールには次のものがあります。
Microsoft Windows Server Update Services (WSUS) は、中規模ビジネスのネットワーク内で更新プログラムを管理するための包括的なソリューションを提供します。
Microsoft Systems Management Server 2003 SP 1 は、Microsoft プラットフォームの変更/構成管理のための包括的なソリューションを提供します。これにより、関連ソフトウェアや必要な更新を高いコストパフォーマンスで迅速に組織のユーザーに提供することが可能になります。
組織に適用できる新しい更新プログラムの購読を検討してください。 これらの通知を自動的に受け取るには、重要なセキュリティ更新プログラムの通知をすぐに受け取るでマイクロソフト セキュリティ情報の購読を申し込むことができます。
ユーザー教育 この文書の前のセクションで説明したように、マルウェアとその特徴、潜在的な脅威の深刻度、回避テクニック、マルウェアが拡散する仕組み、マルウェアがもたらすリスクに関してすべてのユーザーを教育する必要があります。 ユーザー教育には、コンピュータでマルウェアを検出する方法、感染の疑いを報告する方法、インシデント処理を支援するためにユーザー自身にできることなど、マルウェアのインシデント処理に適用されるポリシーと手順を認識させることも含まれます。 中規模ビジネスでは、マルウェア インシデントの防止に関与する IT スタッフに対してマルウェア リスクの管理戦略に関するトレーニング セッションを実施する必要があります。
概要
マルウェアは複雑で、コンピュータ テクノロジにおいて一貫して進化し続けている領域です。 IT の中で遭遇するあらゆる問題の中で、マルウェア攻撃とそれを処理するための関連コスト以上に広範でコストがかかるものはほとんどありません。 中規模ビジネスでは、マルウェアの動作方法、時間の経過に伴う進化、および利用する攻撃経路を理解することで、この問題に予防的に取り組み、より効率的で効果的な対処プロセスを作成することができます。 マルウェアは作成、配布、およびコンピュータ システムの悪用に多くの技術を使用するため、そのような攻撃に対して、すべてのシステムを十分にセキュリティ保護する方法を理解することは困難です。 ただし、課題を理解してマルウェア リスクの管理戦略を実施することによって、攻撃が成功する可能性を低下させるという形で自社のシステムとネットワーク インフラストラクチャを管理できるようになります。
付録 A : 一般的な情報システム資産
この付録は、さまざまな中規模ビジネスに共通して見られる情報システム資産を一覧にしたものです。 これは包括的な一覧を意図したものではなく、組織固有の環境に存在するすべての資産がこの一覧に記載されているわけではありません。 この一覧は、参照および検証を始める足がかりとしてご利用ください。
表 A.1. 一般的な情報システム資産の一覧
| 資産クラス | 資産の説明 (大分類) | 詳細な定義 (必要な場合) | 資産価値の評価 (5 が最高) |
|---|---|---|---|
| 有形資産 | 物理的インフラストラクチャ | データ センター | 5 |
| 有形資産 | 物理的インフラストラクチャ | サーバー | 3 |
| 有形資産 | 物理的インフラストラクチャ | デスクトップ コンピュータ | 1 |
| 有形資産 | 物理的インフラストラクチャ | モバイル コンピュータ | 3 |
| 有形資産 | 物理的インフラストラクチャ | PDA | 1 |
| 有形資産 | 物理的インフラストラクチャ | 携帯電話 | 1 |
| 有形資産 | 物理的インフラストラクチャ | サーバー アプリケーション ソフトウェア | 1 |
| 有形資産 | 物理的インフラストラクチャ | エンドユーザー アプリケーション ソフトウェア | 1 |
| 有形資産 | 物理的インフラストラクチャ | 開発ツール | 3 |
| 有形資産 | 物理的インフラストラクチャ | ルーター | 3 |
| 有形資産 | 物理的インフラストラクチャ | ネットワーク スイッチ | 3 |
| 有形資産 | 物理的インフラストラクチャ | ファックス | 1 |
| 有形資産 | 物理的インフラストラクチャ | PBX | 3 |
| 有形資産 | 物理的インフラストラクチャ | リムーバブル メディア (テープ、フロッピー ディスク、CD-ROM、DVD、ポータブル ハードディスク、PC カード記憶装置、USB 記憶装置など) | 1 |
| 有形資産 | 物理的インフラストラクチャ | 電源 | 3 |
| 有形資産 | 物理的インフラストラクチャ | UPS (無停電電源装置) | 3 |
| 有形資産 | 物理的インフラストラクチャ | 防火システム | 3 |
| 有形資産 | 物理的インフラストラクチャ | 空調システム | 3 |
| 有形資産 | 物理的インフラストラクチャ | 空気清浄システム | 1 |
| 有形資産 | 物理的インフラストラクチャ | その他の環境制御システム | 3 |
| 有形資産 | イントラネット データ | ソース コード | 5 |
| 有形資産 | イントラネット データ | 人事データ | 5 |
| 有形資産 | イントラネット データ | 財務データ | 5 |
| 有形資産 | イントラネット データ | マーケティング データ | 5 |
| 有形資産 | イントラネット データ | 従業員のパスワード | 5 |
| 有形資産 | イントラネット データ | 従業員の秘密暗号化キー | 5 |
| 有形資産 | イントラネット データ | コンピュータ システムの暗号化キー | 5 |
| 有形資産 | イントラネット データ | スマート カード | 5 |
| 有形資産 | イントラネット データ | 知的財産 | 5 |
| 有形資産 | イントラネット データ | 規制要件のためのデータ (GLBA、HIPAA、CA SB1386、EU データ保護規定など) | 5 |
| 有形資産 | イントラネット データ | 従業員の社会保障番号 (米国の場合) | 5 |
| 有形資産 | イントラネット データ | 従業員の運転免許証番号 | 5 |
| 有形資産 | イントラネット データ | 戦略計画 | 3 |
| 有形資産 | イントラネット データ | 顧客の消費者信用レポート | 5 |
| 有形資産 | イントラネット データ | 顧客の医療記録 | 5 |
| 有形資産 | イントラネット データ | 従業員のバイオメトリック認証 ID | 5 |
| 有形資産 | イントラネット データ | 従業員の業務取引先データ | 1 |
| 有形資産 | イントラネット データ | 従業員の個人連絡先データ | 3 |
| 有形資産 | イントラネット データ | 注文書データ | 5 |
| 有形資産 | イントラネット データ | ネットワーク インフラストラクチャ設計書 | 3 |
| 有形資産 | イントラネット データ | 社内 Web サイト | 3 |
| 有形資産 | イントラネット データ | 従業員の人種データ | 3 |
| 有形資産 | エクストラネット データ | パートナーの契約データ | 5 |
| 有形資産 | エクストラネット データ | パートナーの財務データ | 5 |
| 有形資産 | エクストラネット データ | パートナーの連絡先データ | 3 |
| 有形資産 | エクストラネット データ | パートナーの共同アプリケーション | 3 |
| 有形資産 | エクストラネット データ | パートナーの暗号化キー | 5 |
| 有形資産 | エクストラネット データ | パートナーの信用レポート | 3 |
| 有形資産 | エクストラネット データ | パートナーの注文書データ | 3 |
| 有形資産 | エクストラネット データ | サプライヤの契約データ | 5 |
| 有形資産 | エクストラネット データ | サプライヤの財務データ | 5 |
| 有形資産 | エクストラネット データ | サプライヤの連絡先データ | 3 |
| 有形資産 | エクストラネット データ | サプライヤの共同アプリケーション | 3 |
| 有形資産 | エクストラネット データ | サプライヤの暗号化キー | 5 |
| 有形資産 | エクストラネット データ | サプライヤの信用レポート | 3 |
| 有形資産 | エクストラネット データ | サプライヤの注文書データ | 3 |
| 有形資産 | インターネット データ | Web サイト販売アプリケーション | 5 |
| 有形資産 | インターネット データ | Web サイト マーケティング データ | 3 |
| 有形資産 | インターネット データ | 顧客のクレジット カード データ | 5 |
| 有形資産 | インターネット データ | 顧客の連絡先データ | 3 |
| 有形資産 | インターネット データ | 公開暗号化キー | 1 |
| 有形資産 | インターネット データ | プレス リリース | 1 |
| 有形資産 | インターネット データ | ホワイト ペーパー | 1 |
| 有形資産 | インターネット データ | 製品マニュアル | 1 |
| 有形資産 | インターネット データ | トレーニング資料 | 3 |
| 無形資産 | 世評 | 5 | |
| 無形資産 | 信用 | 3 | |
| 無形資産 | 従業員のモラル | 3 | |
| 無形資産 | 従業員の生産性 | 3 | |
| IT サービス | メッセージング | 電子メール/スケジューリング (Microsoft Exchange など) | 3 |
| IT サービス | メッセージング | インスタント メッセージング | 1 |
| IT サービス | メッセージング | Microsoft Outlook® Web Access (OWA) | 1 |
| IT サービス | コア インフラストラクチャ | Active Directory® ディレクトリ サービス | 3 |
| IT サービス | コア インフラストラクチャ | ドメイン ネーム システム (DNS) | 3 |
| IT サービス | コア インフラストラクチャ | Dynamic Host Configuration Protocol (DHCP) | 3 |
| IT サービス | コア インフラストラクチャ | エンタープライズ管理ツール | 3 |
| IT サービス | コア インフラストラクチャ | ファイル共有 | 3 |
| IT サービス | コア インフラストラクチャ | ストレージ | 3 |
| IT サービス | コア インフラストラクチャ | ダイヤルアップ リモート アクセス | 3 |
| IT サービス | コア インフラストラクチャ | 電話 | 3 |
| IT サービス | コア インフラストラクチャ | 仮想プライベート ネットワーク (VPN) アクセス | 3 |
| IT サービス | コア インフラストラクチャ | Microsoft Windows® インターネット ネーム サービス (WINS) | 1 |
| IT サービス | その他のインフラストラクチャ | コラボレーション サービス (Microsoft SharePoint® など) |
| 脅威の説明 (大分類) | 具体例 |
|---|---|
| 致命的なインシデント | 火災 |
| 致命的なインシデント | 洪水 |
| 致命的なインシデント | 地震 |
| 致命的なインシデント | 暴風雨 |
| 致命的なインシデント | テロ攻撃 |
| 致命的なインシデント | 暴動/擾乱 |
| 致命的なインシデント | 地すべり |
| 致命的なインシデント | 雪崩 |
| 致命的なインシデント | 業務災害 |
| 機械の故障 | 停電 |
| 機械の故障 | ハードウェアの障害 |
| 機械の故障 | ネットワーク障害 |
| 機械の故障 | 環境制御障害 |
| 機械の故障 | 建設現場での事故 |
| 悪意のない人物 | 従業員の知識不足 |
| 悪意のない人物 | ユーザーの知識不足 |
| 悪意のある人物 | ハッカー、クラッカー |
| 悪意のある人物 | コンピュータ犯罪者 |
| 悪意のある人物 | 産業スパイ |
| 悪意のある人物 | 政府のスパイ |
| 悪意のある人物 | ソーシャル エンジニアリング |
| 悪意のある人物 | 不満を持つ現従業員 |
| 悪意のある人物 | 不満を持つ元従業員 |
| 悪意のある人物 | テロリスト |
| 悪意のある人物 | 怠慢な従業員 |
| 悪意のある人物 | 不誠実な従業員 (賄賂を受け取る、恐喝対象となる) |
| 悪意のある人物 | 悪意のあるモバイル コード |
| 脆弱性の種類 (大分類) | 脆弱性の簡単な説明 | 具体例 (記載可能な場合) |
|---|---|---|
| 物理的 | 施錠されていないドア | |
| 物理的 | コンピュータ施設への立ち入りが無防備 | |
| 物理的 | 不十分な防火システム | |
| 物理的 | 貧弱な設計の建物 | |
| 物理的 | 貧弱な構造の建物 | |
| 物理的 | 建築材として引火性の資材を使用 | |
| 物理的 | 仕上げ材として引火性の資材を使用 | |
| 物理的 | 施錠されていない窓 | |
| 物理的 | 物理的な衝撃に弱い壁 | |
| 物理的 | 天井と床の両方で、部屋の内壁との間に隙間がある | |
| 自然 | 断層線上に建てられた施設 | |
| 自然 | 洪水地帯に建てられた施設 | |
| 自然 | 雪崩の起きる地域に建てられた施設 | |
| ハードウェア | 更新プログラムの不足 | |
| ハードウェア | 古いファームウェア | |
| ハードウェア | 誤った構成のシステム | |
| ハードウェア | 物理的に保護されていないシステム | |
| ハードウェア | パブリック インターフェイス経由で許可された管理プロトコル | |
| ソフトウェア | 古いウイルス対策ソフトウェア | |
| ソフトウェア | 更新プログラムの不足 | |
| ソフトウェア | 品質の低いアプリケーション | クロスサイト スクリプティング |
| ソフトウェア | 品質の低いアプリケーション | SQL インジェクション |
| ソフトウェア | 品質の低いアプリケーション | バッファ オーバーフローなどコードの弱点 |
| ソフトウェア | 故意に設定された弱点 | 管理またはシステム回復用のベンダ バックドア |
| ソフトウェア | 故意に設定された弱点 | キーロガーなどのスパイウェア |
| ソフトウェア | 故意に設定された弱点 | トロイの木馬 |
| ソフトウェア | 故意に設定された弱点 | |
| ソフトウェア | 構成エラー | 手動プロビジョニングの結果生じた一貫性のない構成 |
| ソフトウェア | 構成エラー | 強化されていないシステム |
| ソフトウェア | 構成エラー | 監査されていないシステム |
| ソフトウェア | 構成エラー | 監視されていないシステム |
| メディア | 混信 | |
| 通信 | 暗号化されていないネットワーク プロトコル | |
| 通信 | 複数のネットワークへの接続 | |
| 通信 | 不要なプロトコルの許可 | |
| 通信 | ネットワーク セグメント間のフィルタの未設定 | |
| 人間 | 明確に定義されていない処理手順 | インシデント対応の準備が不十分 |
| 人間 | 明確に定義されていない処理手順 | 手動によるプロビジョニング |
| 人間 | 明確に定義されていない処理手順 | 災害復旧計画が不十分 |
| 人間 | 明確に定義されていない処理手順 | 運用システムでのテストの実施 |
| 人間 | 明確に定義されていない処理手順 | 侵入が報告されない |
| 人間 | 明確に定義されていない処理手順 | 変更管理が不十分 |
| 人間 | 資格情報の盗難 |
参照情報
-
www.microsoft.com/japan/technet/security/topics/serversecurity/avdind\_3.mspx\#ESEAE
-
www.microsoft.com/japan/technet/security/topics/policiesandprocedures/secrisk/srsgch02.mspx
-
www.consumersearch.com/www/software/antivirus-software/ (英語)
-
www.microsoft.com/japan/technet/security/topics/policiesandprocedures/secrisk/srsgch01.mspx
-
www.microsoft.com/japan/technet/security/topics/serversecurity/avdind\_2.mspx