● 零細様や個人事業主様における、サポートが切れてアンチウィルスソフトも乗らないOSのセキュリティについての考え方(ネットワークにつないでいいかどうかなど)

「サポートが切れたOSをネットワークにつなぐのは危険」「アンチウィルスソフトが無いなんてもってのほか」とされています。もちろんそうなのですが、でもそれでもIT予算の確保がなかなかできない零細様や個人事業主様の場合、「LANくらいにはつないでいたい」、という場合も出てきます。

その場合、どうしたら良いのでしょうか?

インターネットやデジカメなどの利用をしたいパソコンはダメですが、ファイルサーバなどのようにインターネットもYoutubeもSNSも何も必要が無い、「倉庫」としての機能だけがあればいいパソコンなら、「LANにつないでもかろうじてOKなんじゃないか?」という気はします。

Webサーバやメールサーバ等々ももちろんダメですけど・・・

ウィルス感染の主な原因は、「人間」だと思います。

操作ミス、
判断ミス、
設定ミス、
おごり、
無知、
「慣れ」「慢心」による思い込み、決めつけ、油断(特に兼任社内SE)、
仕事中に遊びのサイトに行ってしまう人間性の低さ、

・・・などなど・・・

ウィルスに感染する結局の原因は全部、「人間」です。

また、「 ”感染源” となったパソコン」の感染ルートは2017年5月時点では、以下の3つのルートしかありません。

(a)インターネット経由
  (有線・無線、ブラウザ、メールソフト、種々のフリーウェア等々含む)
  Acrobat、JAVA、FlashPlayer、なども含みます。
(b)CD、DVD、フロッピー、MO、などの内蔵ドライブ経由
(c)USB接続などの「外付け記憶装置」経由(過去にはスマホも。)

では、ファイルサーバのように、「ブラウザもメーラーもUSBも何も必要ない」パソコンはどうでしょうか?

倉庫代わりに使うだけなので、例えば次のような決まりにして「人間」との接触を断てば、ファイルサーバが「感染する」リスクはゼロではないですが、ファイルサーバが「感染源」となるリスクはすごく減ると思います。
(あくまで零細様や個人事業様のような規模の場合)

・一応「管理共有」の停止(レジストリ操作)
・ブラウザやメールソフトの起動禁止または削除と追加インストールの禁止
・Acrobat、JAVA、FlashPlayer、の削除と追加インストールの禁止
・フリーウェアのインストール禁止
・exe、com、docやxlsなどのMSOfficeのファイル、自作以外のbat、htm、htmlのダブルクリック禁止
・USBコネクタを無効化設定にする
・CD、DVD、フロッピー、MO、などの「内蔵ドライブ」は本体内に組み込まない。
 全部取り外す。
 必要なときだけ、USBを有効化し、
 外付けドライブにてウィルスチェック済みの媒体だけを読み込む
・設定は管理者ユーザで。普段は制限ユーザーでパソコンを起動。
・バックアップはLAN経由で他のPCに向けて行うか、
 必要なときだけ、USBを有効化し、外付けドライブに向けておこなう。
・サーバの設置場所は鍵のかかった個室か、監視カメラの前、
 もしくは、社長様か幹部の方もしくはご家族の方の席の前。
・オフィスソフトは入れるけど文書作成はしない。人間は誰一人として付けさせない。
 管理者が必要に応じて稀に設定したり、バックアップするのみ。
 (バックアップも自動。か、一日の終わりに瞬間で手動で。)

・・・など。

これに加えて、ファイアウォールソフトだけは入れておきます。
(今はもうHIPSなんて言わないのでしょうけど・・・)
例えば古いOSなら Sygate Personal Firewall(Win2000向け) や PC Tools Firawall Plus(XP向け・HIPS付)などです。
Windows10なら、WindoweFirewallに加え、「TinyWall」というフリーウェアを使うことで、かなり強固な通信制限ができます。

HIPS機能付のものや外部への通信をするときにメッセージを出してくれたり遮断してくれたりするものが良いと思います。(HIPS→巻末をご参照ください。)

ウィルスが入ってくることももちろん怖いですけど、それよりももっと怖いのが、「データが漏洩すること」なので、やはりファイアウォールを入れることが必要です。

アンチウィルスソフトだけを入れていたところで ファイアウォール機能やHIPS機能を持つソフトを入れていなかったら、情報漏洩の起こる確率が高まってしまいますので・・・。

例えば、「アンチウィルス機能は入っているけどファイアウォールが入ってないパソコンで、危ないところにしょっちゅう行っているパソコン」は、「アンチウィルス機能は無くて ファイアウォール機能やHIPS機能だけしか入ってないけど、危険なところには行かないしメールの添付ファイルとURLはほとんどクリックしない、Adobe関連やJAVAのアップデートやWindowsUpdateをしっかりやってるというパソコン」よりも情報漏洩の危険度は高まるような気がします。

もちろん、ファイアウォールやHIPSの2つの機能のソフトを入れたからと言って絶対に安心なわけではないですが、無いよりはだいぶましかと思います。

総合セキュリティソフトが入っていて、アンチウィルス、ファイアウォール、HIPSのような機能が全部あれば問題ありません。
  
  
以上のようなことを守れば、LANに接続しても、ファイルサーバが「感染源」になることはまずありえません。

危険度で言えば、セキュリティソフトが入れてあったとしても、海外サイトや、例えば善人の方だけが集まるわけではないサイトやアングラなサイト、アダルトサイトに行きまくったり、フィッシングサイト誘導に簡単にひっかかったり、無料ソフトをチェックもせずにのべつまくなしに入れたりするパソコンのほうが危険度が高いです。

というのも、ノートンセキュリティのシマンテック社の幹部の方も2014年に「セキュリティソフト(アンチウィルスソフト)は地球上の全ウィルスの4.5割くらいしか検知できない」とか、「アンチウィルスソフトは死んだ。もうこれまでの方法の延長では防げない。」ともおっしゃっているからです。

・GIGAZINE 2014年05月07日 11時08分58秒
「アンチウイルスソフトは死んだ」とノートンで有名なシマンテック幹部が告白、半分以上の攻撃を検知できず
http://gigazine.net/news/20140507-antivirus-software-is-dead/

つまり、セキュリティソフトを入れていたとしても、検知できないウィルスはいっぱいあって(地球上に5.5割)、そういった危ない場所ばっかりに行ったり、ウィルスやウィルスを仕込む機能を組み込まれた無料のソフトを使ってばかりいれば、知らなうちに(検知をすり抜けた「新種や既存」の)ウィルスに感染してるかもしれないですよ、ということになります。

ただ、だからといってセキュリティソフトが必要ないと言ってるわけではありません。
もちろん必要です。「つい、うっかり」などから守ってくれます。

上記の対策をしたファイルサーバでも、そのような危ないパソコンよりは安全かと思いますが、「感染しない保証・拡散原因にならない保証」にはならないので(リスクが無いわけではないので)、実際にLANに接続するかどうかの判断は、個人個人の責任、となります。

※HIPS/IPS
http://www.weblio.jp/content/IPS?viapid=rws-214437487821より全文引用しました。

IPS
フルスペル:Intrusion Prevention System, Intrusion Protection System
読み方:アイピーエス
別名:侵入防止システム
IPSとは、不正なアクセスを検知し、自動的にブロックする機能を備えたシステムの総称である。

それまで、不正アクセス対策としてはIDS(Intrusion Detection System)と呼ばれる仕組みがあったが、IDSは「侵入検知システム」と呼ばれるように、侵入を検知した際に管理者に知らせる機能のみをもっている。IDSに比べてIPSは、不正アクセスを検知した場合には接続の遮断のようなブロック機能を自動的に実行する点に特徴がある。

IPSには、大きく「ホストIPS」(HIPS)と「ネットワークIPS」(NIPS)の2種類に分類することができる。ホストIPSは個々のサーバにインストールする形態をとっており、インストール作業に比較的手間がかかる難点をもっているが、それぞれのPCをエンドシステムのレベルで制御できる利点を持っている。他方、ネットワークIPSは、ネットワークを通じてリアルタイムに情報を更新でき、ネットワークのセキュリティポリシーに基づいたトラフィック制御ができる利点をもっている。

投稿タグ