既存の資産を使ってすぐできる、
自社のセキュリティ診断方法教えます

まずは、ログを確認してみましょう。

ウイルスバスター™ コーポレートエディション（以下、ウイルスバスター Corp.）を導入されている企業において、管理者はパターンファイルのアップデートやアラートへの対応を運用業務として遂行されていることは一般的だ。しかし一方で、ログをチェックすることにより、自社に潜在する脅威やウイークポイントを診断できることはあまり知られていない。ウイルスバスター Corp.のログは図1の管理画面から確認、抽出できる。

図1：ウイルスバスター Corp.の管理画面（アクセス方法）

ここで抽出したログから、まずは表1の通り、11項目のみを集計する。例えば、Excelのピボット機能で集計すると比較的容易に集計できる。

表1：簡易チェックの11項目

チェック項目から検討するポイント

① 総レコード数（検出件数）
ファイアーウォールやゲートウェイを通過して、エンドポイントに着弾している件数が多い場合は、入口対策の見直しが有効です。また、クライアントに直接入り込む可能性として、USBメモリなどのリムーバブルメディアや、クライアント端末自体の持ち出し、持込みが原因となっている可能性もあります。

② 検出台数
１は検出の総数ですが、これは検出した端末の数です。目安として全体台数の５％以上の検出があると多いと評価してよいでしょう。検出した各端末についてコンピュータ名やドメイン情報から個々のケースに対する調査と対処が必要になります。数が多く、端末個別に対応しきれない場合や、1台でもサーバが感染している場合は、ネットワークレイヤでの監視や対処を検討します。

③ 手動・予約検索による検出
手動検索や予約検索で検出されたレコードがある場合は、対象の端末で一定の期間、不正な活動が行われていた可能性があります。同様の検出が多い場合には、ネットワーク内部での横展開による感染も疑われます。エンドポイントでのウイルスバスター Corp.のセキュリティ機能が十分に有効化されていないケースもあるので、パターンファイル以外のセキュリティ機能として機械学習や挙動監視等の設定を見直すことがお勧めです。

④ 危険なマルウェアの検出
情報漏えいにつながるバックドア型マルウェア等の検出です。入口であるゲートウェイの対策や、エンドポイントでの対策が十分であれば、情報が内部から外部へ送信される際の出口の対策を見直しましょう。対象端末の調査と共に、アクセス可能な重要情報を保存しているサーバ側に侵害がないかも確認しておく必要があります。

ウイルスバスター Corp.のログチェックを試されたい方へ

本稿で紹介したのは概要であり、一般的な対処案に過ぎませんが、もちろん個々の環境によって取得できるログは異なり、見えてくるセキュリティの改善策も異なります。インシデントが起きる前に自社のウイークポイントを把握し、効率的にセキュリティ強化されることをお勧めします。