Click here to visit our sponsor 
□------------------------------------------------------------------□
□ システムの運用におけるセキュリティ対策について
□------------------------------------------------------------------□

設問ア
 当社は社員450人、拠点数6拠点の中小企業である。本
社を中央サイトとして他拠点をフレームリレー網にて接
続している。EUCの推進のため、社員一人に一台のPCを
割り当てている。各拠点にはLANが構築され、ファイル
サーバや基幹系業務のためのデータベースサーバが設置
されている。また、情報伝達の迅速化と業務知識共有の
ために全社規模でグループウェアを導入し、そのサーバ
も設置されている。このグループウェアサーバ上で、電
子メールや電子掲示板、業務系ワークフローが稼動して
おり今では無くてはならないものとなっている。本社で
は前述に上げたサーバ以外に社外への情報発信のための
Webサーバや各拠点のデータベースサーバのマスタとな
るデータベースサーバ、基幹系データベースとグループ
ウェアで相互にデータ交換を行なうためのサーバなどが
設置されている。全社的には、クライアントPC500台、
ファイルサーバ10台、データベースサーバ8台、グルー
プウェアサーバ10台、その他のサーバ15台のマシンが存
在している。
 これらのマシンはすべてOSやアプリケーションソフト
が提供するユーザー認証機構を用いて個人認証を行なっ
た上で社内ネットワークへのアクセスを許可している。
 しかし、最近はユーザー認証以外のコンピュータウィ
ルス(以下、ウィルスと略)による被害という深刻なセキ
ュリティ問題が発生してきた。これまで、ウィルス対策
に関してはエンドユーザや各拠点のシステム管理者の各
自に任されていた。しかし、ウィルスによる被害件数の
増加と被害範囲の拡大にしたがって全社的なウィルス対
策の必要性が生じてきた。


(この行の行末で800字)
-----
設問イ
 全社ウィルス対策システムの導入に当たって、システ
ム運用管理者である私は下記の三点を重要課題とした。
(1)ウィルスを社内から外部に発信しない

(2)二次感染を防止し感染範囲を最小限に止めるととも
に、侵入口での早期発見・駆除に努める

(3)エンドユーザ、システム管理者の作業負荷を最小限
にし、ウィルス対策システムの稼動状況を改善する
これらを重要課題とした理由は、会社の社会的信用を保
つためであり、過去のウィルス感染経験において、ウィ
ルス感染の発見が遅れたため二次感染により全社で60台
近くが感染し、その対応作業に40人/日の作業工数が発
生したことによる。またこの事件の際、各マシンでバラ
バラに導入されたウィルス対策ソフトはウィルス定義フ
ァイルが最新版のものでなかったり、監視ログのチェッ
クが行なわれていなかったりしたため十分に機能してい
なかった。この原因としてウィルス対策ソフトの運用管
理に多大な作業負荷が発生していたことがわかった。
 数社のウィルス対策ソフトベンダーに自社のシステム
構成を説明して、導入にかかる初期コストを見積もった
ところ当社の想定した金額の1.7〜2倍というものだった
。このため、ベンダーの提案を元に、私がシステム運用
管理者として対費用効果が高くなるようウィルス対策シ
ステムの設計を行なった。設計に当たって先に上げた重
要課題を重視し、過去のウィルス感染記録を分析した結
果、下記の点が判明した。
(a)ウィルスの侵入経路は、FDやMDなどの物理メディア
経由と電子メール経由がほとんどであり、最近は9:1か
ら3:7に逆転して、電子メール経由が急増している
(b)二次感染による感染範囲の拡大は社内電子メールと
ファイルサーバ上でのファイル共有が主であり、電子メ
ールによる感染スピードが加速している
-----(直前の行で800字)
(c)ウィルス感染後のウィルス検査・駆除作業でもっと
も業務に影響を与えているのはファイルサーバ上での作
業である
(d)ベンダーによってウィルス対策ソフトの操作方法が
異なり、エンドユーザ・システム管理者が検査・駆除作
業やウィルス定義ファイルの更新作業などで混乱してい
る。このため作業負荷が上がり十分な運用管理ができな
いでいる
これらを考慮した結果、予算内で自社のコンピュータウ
ィルス対策システムを下記のように決定した
(ア)エンドユーザが利用するクライアントPCにはすべて
ウィルス対策ソフトを導入し、物理メディア経由でのウ
ィルス侵入と発信を防止する
(イ)全てのグループウェアサーバにウィルス対策ソフト
を導入し、電子メールによる二次感染の防止と電子メー
ル経由でのウィルス侵入と発信を防止する
(ウ)全てのファイルサーバにウィルス対策ソフトを導入
し、ファイルサーバのファイル共有による二次感染の防
止とウィルス感染時の作業時間短縮を図る
(エ)ウィルス対策ソフトを一社に絞り、ベンダーが提供
する運用管理ツールを最大限に利用することで、情報シ
ステム部門、システム管理者、エンドユーザーの作業負
荷を減らす。
 設計したウィルス対策システムに基づいて、ベンダー
からソフトを購入し、まずはテスト環境を構築して、本
番運用時の問題点の洗い出しと導入時の運用を円滑にす
るためのマニュアル作成の参考とした。テスト環境での
検証の結果、次の点が問題点として浮かび上がってきた。
(A)ウィルス定義ファイルを配布するサーバ(以下、配布
サーバと略)は社内に1台しか設置できない。このため
、WANを経由でウィルス定義ファイルの更新をかけた場
-----(直前の行末で1600字)
合、最低20分以上かかり、他の業務のトラフィックを圧
迫し業務に支障をきたす
(B)ウィルス対策ソフトのインストール時、デフォルト
ではウィルス定義ファイルのダウンロード先や更新のス
ケジュールなどの設定が正しく行なわれず、十分に機能
しない
これらを解決するため、次の対策を施した。前者に対し
ては、ベンダーに問い合わせ、ウィルス定義ファイルの
配布に関する技術情報を入手した。その結果、配布サー
バの設定ファイルを変更することで複数の配布サーバを
階層構造(一次配布サーバ、二次配布サーバ)を持たして
設置できることが判明した。これによって、ウィルス定
義ファイルの更新作業は2分以内に終了するとともにWAN
回線のトラフィック問題も解決できた。さらに、一次配
布サーバ上でウィルス定義ファイルのバージョンを一括
管理することが可能になった。後者に関しては配布サー
バにクライアント・サーバ用の設定ファイルを準備し、
インストール用のバッチファイルを作成した。インスト
ールを行なう際にはこのバッチファイルを実行するよう
にすることで正しく設定が完了できるようにした。
 全社にウィルス対策システムを導入するに当たって、
現在の運用管理体制も見直した。クライアントPCに関し
ては既存のまま利用者に管理を一任することとし、各拠
点のファイルサーバ、グループウェアサーバのウィルス
対策の運用管理に関しては情報システム部門を主体に各
システム管理者と協力して行なうこととした。これによ
って、二次感染の媒体となる各種サーバを情報システム
部門が設定した高いレベルでのウィルス対策基準でウィ
ルス感染から守ることができるようになった。
 今回の全社コンピュータウィルス対策システムにより
、重要課題であるウィルス発信と二次感染の防止と被害
範囲の縮小はほぼ達成することができた。また、以前と
-----(直前の行で2400字)
比較してウィルス対策システムの稼動状況はサーバにお
いてはほぼ100%となり満足できるものとなった。一方、
クライアントマシンにおけるウィルスたしあくシステム
の稼動状況は以前より向上したが、実質的な数値を出す
工夫を施すとともに更なる改善を必要と考える。

設問ウ
 現在の課題として、現状のウィルス対策システムでは
ActiveXウィルスやJavaウィルスなどの新種のウィルス
タイプには対応できない。また、今回のウィルス対策ソ
フトの導入によって、エンドユーザにはすべて解決した
と考えるものもおり、エンドユーザからのウィルス感染
報告件数の割合が減った。
 前述の解決策として新しいタイプのウィルスに対応し
たシステムを導入するべきか、初期導入費用や運用コス
ト、被害の影響などを検討する必要がある。そのための
検討資料を、これまでの感染記録の分析結果とベンダー
の公表しているデータを元に作成し、導入を見極めたい
と考えている。後述に対してはエンドユーザへのコンピ
ュータウィルスに対する啓蒙活動と教育を行なうことで
、コンピュータウィルスに関する認識を情報システム部
門とエンドユーザで再確認しようと考える。それにより
、現在よりもさらに高いレベルの全社コンピュータウィ
ルス対策ができると考えている。







-----(直前の行末で3200字)
[ 戻る ]