2005年03月25日 - 企業内のマルウェア対策は家庭とは違う視点で
mixiのコミュでも書いたんだけど。どうも根本的な問題から視点がずれてる記事とかサイトが多いように思われる。
職場内のパソコンへのスパイウェアなりウイルス感染について論じる記事を最近よく見るものの、どうも根本的な問題を見逃している例を散見するのだよ。
大体、職場での管理と自宅での管理では、求められる対策なり大本の設定なりが、全く違うものである。
従業員が無制限にアプリケーションを勝手にインストールしたり、職場から私的なネットサーフィンができる状況そのものがおかしいし、これを制限するのは当然である。
こんな記事もあったんだけど、どうも納得がいかず。
スパイウェア対策ツールは効果なし?(ITmedia)
また「社外とのやりとりが多いと感染の機会が多い、これは当然」と単純に結論を決め付けてしまう例を散見する。これらは何か大事なものを見逃している。
基本的な対策を採らずに対策ソフトに依存してしまい、それを効くだの効かないだのと評価するのは何かおかしいし、納得がいかない。
ホームユーザーが使うOSの大部分は今時はWindowsXP HomeEditionである(MSのサポが事実上終了しているWindows95/98は論外だけど、WinodwsMeはまだまだ多いのかな?)。WindowsXP HomeEditionはセキュリティポリシーの設定などはできないし、大多数の場合はいきなりAdmin権限のある管理者として利用しているのだろう。
またこの場合、適切な設定をできているのかと問えば、大多数の場合は至らないケースが多いと思われる。
このような場合に、アンチウイルスソフトやスパイウェア対策ソフトを導入するよう推奨するのは、不適切な設定をカバーさせる目的で有意義であり、それはある意味で定石なのだろう。
ホームユーザーに完璧な設定をするよう促すのは、恐らく無理だと思われる。これは初心者軽視ではなく、適切な情報がエンドユーザーに伝わっていない・また初期設定そのものが十分安全とは言えない状態である現状によるものだと考えてる。
しかし企業内部で使われるクライアント機では、事情が違う。
適切にセキュリティポリシーを設定し、User権限で使わせて、利用者が勝手にアプリケーションを導入できないようにしているのが当然なのではなかろうか。
またアンチウイルスソフトはそれぞれ集約的に管理し、Windows OSのパッチの導入状況などもチェックできるようにしている場も多いし、今後はそのような管理が常識になるだろう。
リッチテキスト形式(htmlメール)をテキストメールに変換させるなどの基本的対策は、やってて当然だろう。
(もちろんメールのテキスト変換は、部署によっては余計なお世話になる可能性はあるのだが)
(Internet Explorerの利用ができないようにしてしまうのも手かなぁ)
そして業務に関わりが無いアプリケーションの利用を制限する、これも基本だろう。
つまり企業内部では、基本的な予防策はとられていて当然、なのだよ。
ウイルスやワームと異なりスパイウェアに限定すれば、職場内での感染例は私的なネット利用と不適切な設定と対策ソフトの管理の行き届かなさが、感染例の大多数なのではなかろうか。
(IEの設定を「高」にするだけで、ブラウジング(ネットサーフィン)経由による感染の大多数は防げるのが現状だ)
またブラウザ経由の感染例では、現在では私的な利用が感染の主たる経路に思われるのだが。これらは職場でのポリシーの運用や従業員個人レベルの倫理観に依存する問題であって、これらをすっ飛ばして、いきなり「スパイウェア対策ツールの効果」を論じるのは、何か大事なものを見逃しているのではなかろうか。
大体従業員に安全なネット利用の方法を教育するなど、個別のユーザーの判断に依存するような対策は、明らかに不確かなものである。誰が何をどうやっても感染を避けられるように備えるのが、当然なのではなかろうか。
更には対策ソフトに依存しすぎて、社員教育を疎かにするのは意味が無い。
つまり、個人レベルの対策に帰結して感染者のみを悪者にする姿勢は、おかしいのだ。このような姿勢では、対策はあまりにも結果は不確実なものであるし、理解は得られないだろう。
警戒を促すよりは、業務に関係の無いネット利用を禁止し、勝手な事ができないよう教育し、そして適切な設定をそれぞれのパソコンに施す方がより安全な対策である。
従業員個別の経験やスキルに期待するのは、何か根本的な部分で間違っている。
やはり大事なのは、感染の避け方ではなく、感染しない状況を作り出すべきでは?
対処療法的な対策を考えるのではなく、感染の機会そのものを適切な社員教育なり管理者の働きで避けつつ、適切な設定により避ける方がより効果的であるのだし。
そしてマルウェア感染の機会は、これらによりかなり防止できるものだし、そちらの方がより確実なのだよ。
従業員のパソコンがマルウェア、特にスパイウェア類に感染するのは、企業内部においては従業員が100%悪いのではない。管理者の責任である部分もかなり多いのではなかろうか。
確かにあまりにも困った従業員を抱えれば、それはご苦労様としか言えないのだけど。
最もスキルが至らない従業員であっても感染しない(もしくはしづらい)環境を作ってこそ、文句の一つも堂々と言えるのではないでしょうか。
(どうも勘違いしている人が多いんで苦言を呈すが、自社の社員のパソコンがマルウェア(ウイルス・ワーム・トロイ・スパイウェア・アドウェアなど)に感染するのは、大体の場合では社員ではなく管理者自身の恥なのだよ)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2005-03-25 企業内でのマルウェア対策は家庭とは違う視点で(http://d.hatena.ne.jp/LucaLuca/20050325)を修正・加筆し移転したものです。
職場内のパソコンへのスパイウェアなりウイルス感染について論じる記事を最近よく見るものの、どうも根本的な問題を見逃している例を散見するのだよ。
大体、職場での管理と自宅での管理では、求められる対策なり大本の設定なりが、全く違うものである。
従業員が無制限にアプリケーションを勝手にインストールしたり、職場から私的なネットサーフィンができる状況そのものがおかしいし、これを制限するのは当然である。
こんな記事もあったんだけど、どうも納得がいかず。
スパイウェア対策ツールは効果なし?(ITmedia)
また「社外とのやりとりが多いと感染の機会が多い、これは当然」と単純に結論を決め付けてしまう例を散見する。これらは何か大事なものを見逃している。
基本的な対策を採らずに対策ソフトに依存してしまい、それを効くだの効かないだのと評価するのは何かおかしいし、納得がいかない。
「リスクの見分け方」ではなくて「明示的な禁止、そして適切な設定」を
ホームユーザーが使うOSの大部分は今時はWindowsXP HomeEditionである(MSのサポが事実上終了しているWindows95/98は論外だけど、WinodwsMeはまだまだ多いのかな?)。WindowsXP HomeEditionはセキュリティポリシーの設定などはできないし、大多数の場合はいきなりAdmin権限のある管理者として利用しているのだろう。
またこの場合、適切な設定をできているのかと問えば、大多数の場合は至らないケースが多いと思われる。
このような場合に、アンチウイルスソフトやスパイウェア対策ソフトを導入するよう推奨するのは、不適切な設定をカバーさせる目的で有意義であり、それはある意味で定石なのだろう。
ホームユーザーに完璧な設定をするよう促すのは、恐らく無理だと思われる。これは初心者軽視ではなく、適切な情報がエンドユーザーに伝わっていない・また初期設定そのものが十分安全とは言えない状態である現状によるものだと考えてる。
しかし企業内部で使われるクライアント機では、事情が違う。
適切にセキュリティポリシーを設定し、User権限で使わせて、利用者が勝手にアプリケーションを導入できないようにしているのが当然なのではなかろうか。
またアンチウイルスソフトはそれぞれ集約的に管理し、Windows OSのパッチの導入状況などもチェックできるようにしている場も多いし、今後はそのような管理が常識になるだろう。
リッチテキスト形式(htmlメール)をテキストメールに変換させるなどの基本的対策は、やってて当然だろう。
(もちろんメールのテキスト変換は、部署によっては余計なお世話になる可能性はあるのだが)
(Internet Explorerの利用ができないようにしてしまうのも手かなぁ)
そして業務に関わりが無いアプリケーションの利用を制限する、これも基本だろう。
つまり企業内部では、基本的な予防策はとられていて当然、なのだよ。
ウイルスやワームと異なりスパイウェアに限定すれば、職場内での感染例は私的なネット利用と不適切な設定と対策ソフトの管理の行き届かなさが、感染例の大多数なのではなかろうか。
(IEの設定を「高」にするだけで、ブラウジング(ネットサーフィン)経由による感染の大多数は防げるのが現状だ)
またブラウザ経由の感染例では、現在では私的な利用が感染の主たる経路に思われるのだが。これらは職場でのポリシーの運用や従業員個人レベルの倫理観に依存する問題であって、これらをすっ飛ばして、いきなり「スパイウェア対策ツールの効果」を論じるのは、何か大事なものを見逃しているのではなかろうか。
大体従業員に安全なネット利用の方法を教育するなど、個別のユーザーの判断に依存するような対策は、明らかに不確かなものである。誰が何をどうやっても感染を避けられるように備えるのが、当然なのではなかろうか。
更には対策ソフトに依存しすぎて、社員教育を疎かにするのは意味が無い。
つまり、個人レベルの対策に帰結して感染者のみを悪者にする姿勢は、おかしいのだ。このような姿勢では、対策はあまりにも結果は不確実なものであるし、理解は得られないだろう。
警戒を促すよりは、業務に関係の無いネット利用を禁止し、勝手な事ができないよう教育し、そして適切な設定をそれぞれのパソコンに施す方がより安全な対策である。
従業員個別の経験やスキルに期待するのは、何か根本的な部分で間違っている。
やはり大事なのは、感染の避け方ではなく、感染しない状況を作り出すべきでは?
対処療法的な対策を考えるのではなく、感染の機会そのものを適切な社員教育なり管理者の働きで避けつつ、適切な設定により避ける方がより効果的であるのだし。
そしてマルウェア感染の機会は、これらによりかなり防止できるものだし、そちらの方がより確実なのだよ。
嫌味に聞こえたならば、すいませんが
従業員のパソコンがマルウェア、特にスパイウェア類に感染するのは、企業内部においては従業員が100%悪いのではない。管理者の責任である部分もかなり多いのではなかろうか。
確かにあまりにも困った従業員を抱えれば、それはご苦労様としか言えないのだけど。
最もスキルが至らない従業員であっても感染しない(もしくはしづらい)環境を作ってこそ、文句の一つも堂々と言えるのではないでしょうか。
(どうも勘違いしている人が多いんで苦言を呈すが、自社の社員のパソコンがマルウェア(ウイルス・ワーム・トロイ・スパイウェア・アドウェアなど)に感染するのは、大体の場合では社員ではなく管理者自身の恥なのだよ)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2005-03-25 企業内でのマルウェア対策は家庭とは違う視点で(http://d.hatena.ne.jp/LucaLuca/20050325)を修正・加筆し移転したものです。
