ウイルス対策
ウイルス対策について。
- セキュリティパッチの適用、ディスク持込禁止等の基本的対策
- ウイルス対策ソフトウェアの導入
- 検疫ネットワーク
がある。
基本の対策
- セキュリティパッチの適用
- セキュリティパッチを適用することで、セキュリティホールを突いたウイルスの感染を防止できる。
- PC/ディスクの持ち込み制限
- ウイルスに感染したPC/ディスクの持ち込みによるウイルス感染を防止するため、持ち込みを規定で禁止する。(または、事前にウイルスチェックを行うことを義務付ける)
- 信頼できないソフトウェアのインストールの禁止
- 不要なWebサイトへのアクセスの禁止
- 悪意のあるサイトの閲覧によるWeb経由でのウイルス感染を防止
- ウイルス発見時の事後対策手順の策定
- ウイルスを発見したらPCをLANから切り離すなどの対応手順を明確にしておく。
ウイルス対策ソフト
ウイルスを検知し、排除するプログラム。個別のPCに導入するほか、メールサーバー、プロキシサーバー等に導入することで、メールやWeb経由でのウイルス感染も抑制できる。
検知の仕組み
- パターンマッチング
- ウイルス定義ファイルに記述されたウイルスのシグネチャを元にファイルをスキャンし、ウイルスを検出する。
- ×ウイルス定義ファイルの更新が必須。古い定義ファイルだと最新のウイルスを検知できない。
- ×未知のウイルスや、発見されたがウイルス定義ファイルには含まれていないウイルスは検知できない。(ゼロデイアタックは防げない)
- ヒューリスティック検索
- 一般的なウイルスの特徴を分析し、それを元に同様の特徴を持つソフトウェアを検出する。
- ○未知のウイルスを検知できる(かも)
- ×誤検知のリスクがある
- ハッシュ検証
- 改ざん検知の手法。正常時のプログラムのハッシュを取得しておき、現在地と比較して改ざんを検知する。
- ×ファイル改ざんを伴わないウイルスには無力。
- コード検証
- 実行コードの処理を分析し、ウイルスかどうか判断する。場合によっては隔離された環境(サンドボックス)で実行して検証する。
- ○未知のウイルスを検知できる(かも)
- ×検証に時間がかかる。
検疫ネットワーク
PCを社内ネットワークに接続する前に検査(セキュリティパッチが適用されているか等)し、検査に合格したPCのみ接続を許可する仕組み。検査不合格の場合、セキュリティパッチの適用やウイルス定義ファイルの更新を行い、検査に合格すれば接続できる。
- ○ウイルスに感染したPCの持込によるウイルス感染を防ぐことができる。
- ○ウイルス定義ファイルが更新されていないPCを検知/修復できる。