高度なセキュリティのベストプラクティス
search cancel

高度なセキュリティのベストプラクティス

book

Article ID: 234562

calendar_today

Updated On:

Products

Endpoint Protection

Issue/Introduction

高度なセキュリティのベストプラクティスを知りたい。

Resolution

ネットワーク上のセキュリティに対する全体的なアプローチは、企業の安全を確保するためのより大きなプロセスの始まりに過ぎません。

資産の特定と評価、脆弱性の評価、既存の対策の評価、脅威の想定と分析、新規および既存のセキュリティインフラストラクチャの費用対効果の評価などが行われた後に、最適なプランが作成されます。

このフェーズでは、「何を守ろうとしているのか」「どのような攻撃が起こりうるのか」「どこが脆弱なのか」「攻撃にはどれだけのコストがかかるのか、対策にはどれだけのコストがかかるのか」などを検討します。

ウイルス定義や侵入防止シグネチャは最新のものを使用する:

ウイルス対策ソフトのウイルス定義や侵入防止シグネチャは、新種のウイルスを認識し、侵入を防ぐために定期的に更新する必要があります。

できるだけ低い権限を持つユーザーを使用する:

職務を遂行可能な、最も低い権限を持つユーザーを使用することで、攻撃経路を減らすことができます。

マップされたドライブの接続を解除する:

ネットワーク環境では、必要なファイルやデータベース、その他のツールに簡単にアクセスできるように、サーバーにマップされたドライブが設定されていることがよくあります。これらのマップされたドライブを切断することで、利用可能な攻撃手段を減らすことができます。多くの場合、すべてのドライブに自動的にアクセスする脅威を避けるために、ショートカットを使用してドライブをマッピングします。

共有フォルダをパスワードで保護し、開いている共有フォルダを閉じ、強力なパスワードの使用を強制する:

強力なパスワードは、比較的長く、無意味であり、さまざまな種類の文字を使用する必要があります。パスワードは、辞書に載っているような単語を使うべきではありません。大文字、小文字、数字、特殊文字を組み合わせたパスワードが必要です。パスワードは、特にインターネット、電子メール、インスタントメッセージングアプリケーションで共有してはいけません。

自動実行機能を無効にする:

autorun.inf ファイル自体は、悪意のあるものではありません。単なるテキストファイルです。しかし、多くの脅威は、オペレーティングシステムの自動実行機能を攻撃のベクトルとして使用することに成功しています。このベクトルを制限するには、オペレーティングシステムの自動実行機能を無効にしてください。

詳しくは How to prevent a virus from spreading using the "AutoRun" feature をご覧ください。

緊急時対応策を策定し維持する:

ネットワークが複数人で管理されている場合、セキュリティポリシーを定義し、検証することが重要です。セキュリティの観点からネットワークを評価するための正確な情報を得るには、社内のさまざまな分野の人がチームを組むことが重要です。参加者全員がセキュリティについて完全に理解しているわけではないので、社内の中心的な人物や少人数の人物と話すよりも、さまざまな人物からなるグループの方がより良いイメージを得られるはずです。

すべてのソフトウェアとハードウェアが想定通りに設定されているか、また、その設定が現在のセキュリティ脅威に適切であるかを確認します。新たな脆弱性が顕在化した場合には、セキュリティ・ポリシーとプラクティスを再評価してください。最新の脆弱性やセキュリティアドバイザリについては Symantec Security Response の Web サイトをご確認ください。

オペレーティングシステムを強化する:

システムのハーデニング (強化) は、システムを侵入から保護するために安全に設定し、同時にシステムの信頼性を高めるためのステップバイステップのプロセスです。一般に、システムのハーテニングの名の下に行われるあらゆることは、システムの安全性と信頼性の両方を保証します。

  • 新しいオペレーティングシステムはハッカーに多くは調査されていません。成熟したオペレーティングシステムは既知のものです。リスクは知られていますが修正方法も知られています。
  • オペレーティングシステムをスリム化して、必要なサービスのみをサポートします。
  • 不要なプロトコルやサブシステムを無効化します。
  • ファイアウォールを設置し、ログを監視します。

データベースの管理:

データベースに入力されるすべてのデータ(内部および外部の両方)を検証します。
暗号化が適切なタイプであることを確認します。

ネットワークセキュリティについてユーザーを教育する:

エンドユーザーに対して、以下のような安全なコンピューティングの基本を周知します。

  • パスワードを共有したり、電子メールやテキストファイルに保存しない。
  • 知らない電子メールの添付ファイルや知らない送信者からの電子メールを開かない。
  • インターネットからダウンロードしたソフトウェアは、ウイルススキャンを行わない限り、保存、インストール、実行しない。
  • ノートパソコン使用者はウイルス対策ソフトの使用方法と更新方法を知っておく。ネットワークに再接続する前に、ラップトップコンピュータのウイルススキャンを行う。
  • 見知らぬウェブサイトへのリンクはクリックしない。

パッチ適用方針 (マイクロソフトのソフトウェアに限らず):

  • マイクロソフトは、サポートされているすべての Windows オペレーティングシステムの更新を定期的に提供しています。これらのパッチは、ネットワークセキュリティの予防的アプローチに不可欠です。Windows Update の自動配布方法は、大規模なネットワークや管理が困難なネットワークに推奨されます。詳細については、Windows Update の Web サイトを参照してください。
  • Windows Update 以外にも、製品やソフトウェアの脆弱性に必要なパッチを適用するためのツールは多数あります。

 

セキュリティ対策に欠かせないツール

セキュリティ・ポリシーを実施するだけでなく、ネットワークへのすべてのエントリー・ポイントで、さまざまな種類の攻撃からネットワークを保護する必要があります。そのためには、ネットワークの境界、サーバー、および各クライアントコンピュータでの保護が必要です。

境界レベル: 境界ファイアウォールを設置する:

ファイアウォールは、ネットワーク外部からの特定の種類のアクセスのみを許可することにより、ネットワークの境界を保護します。ファイアウォールは、サービス拒否攻撃や多くの種類のウイルスを含むけれども、これらに限定されない多くの種類の攻撃をブロックします。境界ファイアウォールは、プロアクティブなセキュリティを提供し、混在する脅威からネットワークを保護することができます。

クライアントレベル: 各コンピュータにウイルス対策とファイアウォール保護をインストールし維持する:

境界とサーバーの保護は、インターネットからネットワークに侵入する脅威の大部分を阻止しますが、最新の侵入防止シグネチャを備えたクライアントファイアウォールは、サービス拒否攻撃や多くの種類のウイルスなど、多くの種類の攻撃を阻止することで各コンピュータを保護します。

最新のウイルス定義を備えたウイルス対策ソフトウェアは、侵入経路に関係なく、すべての既知のウイルスの脅威から各コンピュータを保護します。強力なアンチウイルスソリューションは、コンピュータのハードドライブに到達したすべてのものを、それがどこから来たのか、どのように到達したのかにかかわらず、スキャンします。

脆弱性管理:

ESM や Nessus などの脆弱性スキャンツールは、開かれた箇所をテストすることができます。

ホストおよびネットワークベースの侵入検知/侵入防止:

ネットワークおよびホストベースの侵入検知、侵入防止システムは、ネットワークやシステムの活動を監視し、悪意のある、または望ましくない行動を監視し、リアルタイムでその活動をブロックまたは防止することができます。ネットワークベースの侵入防止は、悪意のあるコードや攻撃がないか、すべてのネットワークトラフィックを監視するためにインラインで動作することができます。攻撃を検知すると、問題のあるパケットをドロップし、他のトラフィックはすべて通過させることができます。

重要なデータは定期的にバックアップを取る:

現在のデータをバックアップしておけば、危険なファイルや破損したファイルからデータを復元する必要がなくなります。

電子メールの脅威を減らすための対策を講じる:

ウイルスやその他の脅威の拡散によく使われる添付ファイルを含むメールをブロックまたは削除するよう、メールサーバーを設定します。

電子メールセキュリティの実践

  • さまざまなタイプのメール攻撃について、また迷惑メールや不審なメッセージに対する対処法について、ユーザーを教育します。
  • ネットワーク上の個人の電子メールアカウントへのアクセスを制限することを検討します。
  • [Attacks by attachments] セクションに記載されている添付ファイルの種類をメールサーバーで除去することを検討します。電子メールサーバーのマニュアルを参照してください。
  • アンチスパムプログラムを使用し、ユーザーに届くフィッシング詐欺や同様の脅威の数を減らします。
  • Windows Scripting Host の無効化またはアンインストールを検討します。
  • すべてのパッチとセキュリティアップデートが適用されていることを確認します。
  • 感染が疑われる場合の対応手順を定めます。

 

ウイルスのトラブルシューティングの 5 つのステップ

 

1. 脅威を特定する

脅威の発生に対処するためには、その脅威を特定し、その能力を理解することが重要です。
また、コンピュータに存在する可能性のある脅威をすべて把握することも重要です。

悪意のある可能性のあるプログラムを特定するために:

  • 脅威分析スキャンを実行します。これにより、コンピュータにロードされているプログラムの広範なリストとその評判が記載されたレポートが生成されます。SymDiag の脅威分析スキャンによる疑わしいファイルの特定 を参照してください。
  • 状況に応じてテクニカルサポートチケットを作成し、サポートが結果のレポートを確認し、ロードされている各プログラムまたはプロセスの正当性を判断するのを支援します。
  • Symantec Endpoint Protection によって検出されない潜在的に悪質なプログラムをサポートが特定した場合、サポートは解析のためにどのファイルを送信すべきかを伝えることができるはずです。
  • 不審なファイルを直接 Symantec に送信する。シマンテックセキュリティレスポンスに疑わしいファイルを提出する を参照してください。
  • 脅威が広がっていてアウトブレイクしているように見える場合、提出されたファイルのより詳細な分析を要求することができます。セキュリティレスポンスは、攻撃のベクトル、削除手順、ペイロード、脅威の基本的な機能を調べることができます。

その他の脅威は、現在のウイルス定義で検出される場合があります。

脅威を特定するためにファイル名に依存しないでください。多くの脅威は同じファイル名を使用していますが、全く異なる特性や攻撃ベクトルを有している可能性があります。

2. 感染したコンピュータを特定する

脅威を特定したら、感染したコンピュータを特定する必要があります。

  • 脅威が特定された場合、感染したコンピュータを特定する最も簡単な方法は、脅威を検出するウイルス定義でネットワーク全体を更新し、スキャンを実行することです。これは、スケジュールスキャンまたはウイルススイープによって行うことができます。
  • ネットワーク監査は、どのコンピュータにアンチウイルスがインストールされておらず、最新の状態でないかを判断するために使用することもできます。
  • 脅威が使用するポートに大量のネットワークトラフィックを生成しているコンピュータのファイアウォールログをチェックすることも、感染したコンピュータを検出する方法として有効です。
  • 脅威のログを確認することで、別の感染したコンピュータから来るソースファイルを知ることができます。

3. 感染したコンピュータを隔離する

感染のさらなる拡大を防ぎ、オープンな共有やパッチが適用されていない脆弱性を通じて、脅威が他のコンピュータにリモートで影響を与え続けることを防止するためには、感染したコンピュータを隔離することが重要です。

感染したコンピュータを隔離するには、いくつかの方法があります。

  1. 一般的に、感染したコンピュータを隔離する最も良い方法は、そのコンピュータをネットワークから物理的に取り除くことです。この場合、ネットワークとインターネットへの接続を手動で解除する必要があります。
  2. 場合によっては、ネットワークからコンピュータを完全に削除することができないことがあります。一部のお客様は、感染状況に応じて、通信が非常に制限された検疫サブネットを作成されています。これにより、感染したユーザーの生産性をある程度制限し、リモート管理を可能にしています。

警告: この方法は準備が必要であり、感染経路が十分に解明され、適切な予防策が講じられた後に実施されるべきです。

4. 感染したコンピュータのクリーニングとウイルスの除去

ネットワークからコンピュータを削除し最新の定義ファイルに更新したら、ウイルスを除去し、脅威の影響を受けた変更を元に戻す必要があります。以下は、ウイルス定義が最新になった後にウイルスを駆除する手順です。

A. ウイルスのプロセスを停止するか、一部の脅威がこれを妨げる可能性があるため、プロセスをロードしない状態でコンピュータを起動します。

  1. セーフモードまたはセーフモードコマンドプロンプトのみで Windows を起動します。
  2. Symantec Endpoint Protection の新しいバージョンでは、完全スキャンの一部としてプロセスを停止できる場合があります。

B. ウイルスファイルを削除する

  1. セーフモードで完全スキャンを実行します。(推奨)
  2. 手動でファイルを見つけ、削除します。
  3. 特定の脅威の亜種に対して利用可能な除去ツールがあるかどうかを確認します。

C. システム設定の変更を元に戻す

コンピュータを再起動する前に、レジストリを変更することが重要です。多くのウイルスが起動設定を変更するため、レジストリの変更を元に戻さないと、ウイルスが除去された後、ユーザーがログインできなくなる可能性があります。

  1. レジストリの変更を元に戻します。
  2. 以下のファイルに加えられた変更を元に戻します。
    • hosts
    • win.ini
    • sfc.dll は、新しいコピーに置き換える必要がある場合があります。
  3. ウイルス対策プログラムとファイアウォールプログラムの再インストールが必要な場合があります。

D. すべてのマシンがクリーンであることが確認されるまで、ネットワークに再接続しないでください。

E. ネットワークに再接続する前に、コンピュータを通常モードで再起動します。これは、追加のウイルスが検出されず、クリーニングが正常に行われたことを確認するためです。

F. ルートキットやバックドアが検出された場合、ネットワークのセキュリティを確保するために、コンピュータを再イメージする必要があるかもしれません。

5. 感染経路の特定と再発防止

この最後のステップは見落とされがちですが、最も重要であると考えられます。ほとんどのネットワーク感染は、以下の 3 つの方法で伝播する可能性があります。

A. 既知の脆弱性

これらは一般的に OS の脆弱性ですが、コンピュータ上でコードをリモートで実行できるようにする他のソフトウェアの脆弱性を含む場合もあります。一般的な脆弱性の索引は、本書の最後に記載されています。

  • コンピュータにパッチが適用され、クリーンであることが確認された後でのみ、それらを本番ネットワークに再導入します。

B. オープンシェア

ウイルスは起動時にロードされることが多いため、現在のユーザーの認証情報とともに実行されている可能性があります。これは、ユーザーがユーザー名とパスワードを入力せずにアクセスできる共有は、このタイプの攻撃に対して脆弱であることを意味します。これには Admin$ と IPC$ の共有が含まれます。

  • 今後のネットワークのセキュリティを確保するために、管理者パスワードは新しい「強力な」パスワードに変更される必要があるかもしれません。

C. 電子メールのベクトル

脅威の中には、大量送信のルーチンを持つものや、電子メールを介して手動で着信させるものがあります。

Additional Information

[英語文書] Advanced security best practices

Powered by Wolken Software