それでもWindows XPを利用し続けるしかない。

NHKでも、注意喚起してますね。また、Windows XPはWindows 8の約21倍のウイルス感染率、オンラインバンキングの被害額は平成25年では約14億円。
XPサポート終了へ驚異の感染率(Livedoor)
俺だったら「驚異」じゃなくて「脅威」って書くなぁ・・・

XPを使い続ける、XPを使わざるを得ない状況の1つに、リース中というのが痛い場合がある。たとえば、300台のPCを5年リースしていたとしたら、月額60万(OS=WinXP Pro、Office=MS-Office 2003 Pro)ぐらいだ。これが、あと半年あるんだよね~と考えた場合、60万円×6=360万円。これは大きい。新規リース物件にこのリース物件を組み込むとしたら、360÷60カ月=6万円が1カ月の負担額。これまでは月額60万のリースだったのが、月額66万となると、これも頭が痛い。よって、XPを使い続けなくてはいけない問題。

一方、業務システムがXPしか対応していないもの、Serverが2003で構築しており、このまま使い続けなくてはいけないもの。ただし、Windows Server 2003 R2は、2015年7月14日でサポートが終了する。これは注意して欲しい。

 

このような中、システム管理者として、どのような構築をするかが課題となる。インターネット接続はWindows 7 / 8とし、L3を使ったVLAN(ネットワークが1つだけど、論理的に分けるネットワーク)として使い続けたい(使わざるを得ない)状況だと、やはり、標的型攻撃による内部からのウイルス感染の拡大が懸念される。
なお、個人的に好きなベンダーのリンクを合わせて貼っておこう。なお、私は取引先の方なので、関係者では無いことに注意いただきたい。なお、敬称は省略させて頂く。ご了承願いたい。

外からの標的型攻撃対策、内部からの情報漏えい対策として、McAfeeのNSPというアプライアンスの2台構成(冗長化を採用するなら、2台×2台となる)
【参考】McAfee Network Security Platform (McAfee)
【参考】標的型攻撃サイバーの特徴(McAfee)

NSPの特徴を、流行?のコピペで説明すると、「SQLインジェクション、不正なアプリケーションの利用、脆弱性を利用した攻撃、Bot等の脅威からプロアクティブにクライアント/サーバーを防御するホスト型不正侵入検知・防御ソリューション」だとか。

ようするに、Botからの攻撃って、対応できない。いつ来るかわからないし、ゲートウエイに例えば、監視センターと契約しようとしても、まぁ比較的お高い価格。不正な攻撃があれば、それを遮断してくれる素晴らしい製品。アプライアンスであれば、アプライアンスでリースで組めば、月額の価格が抑えられる。

ファイアウォールのIDCやIPSよりも強固な製品と考えていい。ただし、これでは、本当に標的型攻撃をくらっているかわからない。また、内部のネットワークは、Windows7だけじゃない。XPもあるや、Win98もあったり?OSに関する対応をしなければならない。どうしようか?

マカフィーのアプライアンスなら、マクニカネットワークスに聞け!どんどん取扱い増加中だ。
【参考】マクニカネットワークス、マカフィーの標的型攻撃対策製品を提供(impress)
標的型攻撃対策アプライアンス「McAfee Advanced Threat Defense」を提供開始とのことだ。この製品はよく分からないので、調査した上で、追記していきたい。

ウイルス駆除ソフトを入れているから安心だよね?という時代は終わった。シグネチャ(定義ファイル)を比較して駆除したりするウイルス駆除ソフトをすり抜けて入ってくる対策方法として、FireEyeという製品がある。但し、このアプライアンス製品は、それ自体では駆除してくれないため注意が必要だ。仮想的にWindowsXPの場合、どのような動きをするのか、仮想実証してくれるようだ。これは高価なので、私はあまり調査していない。
【参考】FireEye(FireEye)

ウイルス駆除ソフトのシグネチャ比較以外にも、ヒューリスティック検知を行う製品への検討も必要だろう。例えば、ドイツのセキュリティ会社の発表資料を参考に、プロテクション機能が上位のものを利用しているかが、鍵となる。(XP
3大メーカーのうち、TrendmicroSymantecは上位に入っている。また、ウイルス駆除専門メーカー、我が推奨しているF-Secureは、常に上位。ちなみに、ソースネクストのスーパーセキュリティZEROは、BitDefenderのエンジンを利用している。そのため、ソースネクストのセキュリティ製品はちょっとおすすめできないと言ってきたが、この、スーパーセキュリティZEROはおすすめできる製品だ。しかし、統合管理ができないため、数百台ある場合は、3大セキュリティメーカーおよび、F-Secureをおすすめしていきたい。

ウイルスの感染手段として、メールとウェブページ、そして、外部媒体(たとえば、USBメモリ)だと考えられる。ウェブページについては、URLフィルタを利用すれば、概ね防げる。ここで重要なのは、アダルト、漫画、とかといったカテゴリをフィルタする、という目的ではなく、悪質のサイトをフィルタリングする能力が高いものを選択する必要がある。

全世界で利用されている、Proxy、BlueCoat ProxySGを絶賛できる。私としてもこの製品は入れているが、もうすぐ5年となるが、故障ゼロの製品だ。また、このウェブ検査中にウイルスを削除するという製品が、BlueCoat ProxyAVというアプライアンス製品がある。このProxySGとProxyAVはICAP連携のため、非常に高速だ。また、ProxySGは、キャッシュサーバとしての能力があるため、ページの先読み等で、高速化も得られるのだ。
【参考】Blue Coat ProxySG/AV Full Proxy Edition(マクニカネットワークス)

でも、ネットワークが一カ所の出口じゃないんだよね。VPNは組んでいるが、回線の無駄をなくすため、各ルータ毎に出ているんだよね、というネットワーク構成には、クラウドを使うと便利。BlueCoatもクラウド対応しており、比較的低価格で利用できる。
【参考】Blue Coat Cloud Service(マクニカネットワークス)

インターネットの出口対策として、McAfee NSPで防御し、Web閲覧対策として、BlueCoatで防御。各PCのウイルス対策として、駆除できる製品。次はメール部分だ。

一般的なウイルス駆除製品には、メールスキャンがついている。だが、Webメールを利用しているときは、Webメールサーバ側次第になってしまう。ここで、我が推奨しているOffice365への乗り換え提案をしたい。ウイルス駆除、スパム排除等、高い確率で駆除してくれる製品だ。さらに、近年注目されているメールアーカイブも月額660円/1IDで、無制限容量・無期限との対応してくれる製品だ。さらに、ウイルス駆除ソフトは毎年更新されており、3~5種類のエンジンでスキャンしているようだ。プランが色々とあるのだが、メールだけの利用であれば、Exchange Onlineプラン1で十分だ。月額330円/1IDで、メールボックスは50GBだ。さらに、E1を1つ契約しさせすれば、Enterpriseサポートをしてくれる。結構裏情報かもしれないが、プランEの管理センターは、Small Businessとかと比べると一目瞭然、なんでもできる。考えるのであれば、Enterpriseを選択しておこう。

これでメールから入ってくる不正プログラムも退治してくれる。あとは、外部デバイス対策だ。いまどき、USBメモリ等の利用可能な会社ってあるはずないよね?ハーイうちでーす。USBメモリを利用しなくてはいけない場合は、IT資産管理ソフトを利用して、しっかり管理すれば、トレース(追跡)ができるため、発生源がわかる。例えば、IT資産管理ソフトとMACアドレスを管理してネットワークを制御する製品とを組み合わせれば、安価な簡易的な検疫ネットワークを作ることができる。例えば、NECのinfocage不正接続防止とIT資産管理ソフト大手のMOTEXのLanScope Catとを組み合わせれば、外部記憶装置の管理や規制ができるほか、私物PCの接続不可といったことが取れる。素晴らしいことだ。
【参考】InfoCage 不正接続防止 – MOTEXのIT資産管理製品「LanScope Cat」との連携(NEC)

これらの構成で、不正PCのネットワーク接続ができない。不正外部媒体をPCに取り付けられない。ウイルス駆除検知率の高いウイルス駆除ソフトを入れている。Web閲覧には不正サイトをフィルタリングするProxy(プロキシ、プロクシ)製品でカット、メールはOffice365で大半カット。Office365でのスパム駆除はあまり信用置けないという場合は、IIJ セキュアMXサービスというのがある。私はOffice365単体で十分だが、もうちょっとセキュリティを強くしたいとなると、これを選ぶしかないだろう。

ファイル交換がURLフィルタではじかれてしまう場合は、ビジネス版以上のboxを利用すれば、アクセスログが取れるやらで、非常に頑固なセキュリティ対策がとれる。ディスク容量も大きいので、容量不足には陥らないはずだ。ただし、boxには、ウイルススキャンエンジンが現段階では搭載されていないため、外部から添付されたファイルについては、PC内のウイルス駆除ソフトでスキャンを実施する必要がある。

サポート外のOSをネットワーク内に利用し続けたい場合は、ネットワークの出口対策が必要となる。これで、いくらかかるのか?私はユーザー企業のため価格帯がわからない。

個人的に営業レベルが高いベンダーは以下の通り。ぜひ、ご活用いただきたい。(順不同)
マクニカネットワークス (※メーカー)
NECネクサソリューションズ
富士通マーケティング
リコージャパン
ってなところかな。