質問

2009年09月04日 19時10分
  • 外部に繋がっていないネットワーク上のPCのウィルス対策

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

お世話になります。
現在社内でワークグループでネットワークを構築しています。
この中には外部に接続できるPCと出来ないPCがそれぞれあります。
先日社内PCを点検したところ、外部接続できないPCには
ウィルス対策ソフトが一切入っていませんでした。

他のPCの使用期限がそろそろ切れるので
この際コーポレートエディションを導入して全台管理しようと言う
話になったのですが、経営陣から
「外部につながないPCは今まで通り要らないのでは?」と
待ったが掛かりました。
私としてはネットワーク内の1台でも感染が出た場合
業務を止めてでも全台チェックが必要になりますよという
お話もしたのですが
「でも、外部につないでるPCは保護されてるんだし
USBは物理的にポートをふさいでるから大丈夫でしょう?」と
返されてしまい、時間が無いので議論はそこで打ち切りとなりました。

外に出れないとは言え社内ネットワークに繋がっている以上
導入すべきではないかと思うのですが
こういう場合どのように説得すれば良いでしょうか。

それとも、他のPCでしっかり対策をしておけば
本当に大丈夫でしょうか?
お知恵を拝借できれば幸いです。

5件の回答があります

回答

はやりのインフルエンザにたとえると、学校に通う孫がいれば、外には出られないおばあさんにもインフルエンザ対策が必要です。

言い直せば、外部接続しているPC経由でウイルスが進入した場合、社内ネットワーク経由で感染を拡大し、社内のみ接続しているPCにも感染します。

感染したPCからデータが流出する恐れは多分にありますが、その他にも
・正常に起動しなくなる
・データを消去される
・データを勝手に暗号化され、パスワードと引き換えに金銭を要求される
・社内ネットワークがまったく使えなくなる
などの被害が想定できます。

ウイルスによりデータが流出するしないは、USBメモリの使用制限とはま
ったく関係ありません。

1回顧客情報が漏洩すると、対策費などで数億円費用がかかるとの試算も
あります。また、記者会見の席上で「ウイルス対策などはしっかり実施
していた」といえない場合、マスコミから袋叩きにあう可能性もあります。

御社の業種にもよりますが、個人情報を取り扱っている場合対策必至です。

回答

こんにちはです。

USBは物理的にポートをふさいでるから大丈夫でしょう
USBポートを「物理的に塞いでいる」ってのは、どうしているんでしょか?
蓋をしたりして塞いでいるってことでしょうか?
ユーザが故意に外せたりしないのでしょうか??
外部への接続が出来ないPCでも、ネットワークに接続している限りには、
ウィルス感染は免れないと判断するべきかと思います。
弊社も持ち出しや外部接続などのPCを主に保護し、製品調整用のPCの優先度
を下げていたのですが、以前弊社でもUSBメモリの使用に関しては色々
DOWNADに感染し全PCを同等に扱うようになりました。
また、ネットワークに接続しないPCも温床になる可能性もありますので、
本当に全端末を対象にすることにしました。
それまでウィルス対策ソフトを「保険的」にしか考えていなかった経営陣ですが、
それ以降ピリピリです。なにせ電算関連業務が2日止まったのですから・・
回答ではありませんが、ご参考まで・・・

回答

先日社内PCを点検したところ、外部接続できないPCにはウィルス対策ソフトが一切入っていませんでした。
「一切入っていませんでした。」ということは いままではノー管理だったということですか。 それは危ないです。

USBは物理的にポートをふさいでるから
と言っても最近はPS2ポートの無いパソコンもありKBやマウスをUSBでつながざるを得ないですからそこまでふさぐことはできないでしょう(ADでUSBメモリをロックしていますか?)
フロッピはどうですか。CDやDVDは? これも感染口になる可能性があります。 

少なくともLANに繋がっているパソコンはウィルス対策ソフトを入れるべきです。「外部につないでるPCは保護されてるんだし...大丈夫でしょう?」なんて甘い事を言わせてはいけません。 はっきり言って”どんな対策を取っても大丈夫ということはあり得ません”ですから、ましてや対策が取ってないならそれは責任問題になりますね。大声では言えないですが ”すべての対策は事が起きたときの言い逃れの為”といっても過言ではないと思います。

時間が無いので議論はそこで打ち切りとなりました。
こういうときの結論の出し方は
情シス員:パソコンは50台ですので1台5千円として25万かかります。
経営者:25万はかかりすぎる。15万程度に抑えなさい。
情シス員:では重要な30台までは1台5千円、それ以外は無償のウィルス対策ソフトにします。無償ソフトでは効果は落ちますがそれでどうでしょうか。
経営者:うん それでやってくれ。
という具合に「本当はちゃんとやりたかったのだが経営的に抑えられたので経営判断でこの程度にした」という結論にもっていくのがいいでしょう。(情シス員の責任にしないで経営判断にするのです。)

No.1849 スタンドアロンPCのウイルス対策について
も参考にしてください。

2009年09月06日 12時21分

回答

私の所ではファイアーウォールで特定のPCのみインターネットにつなげるという設定をしていました。でも今はインターネットを使わないというPCの方が少数派になってしまったためその制限を外しました。それととともに全PCにアンチウィルスを入れています。
「外部に接続しないPC」というのはLANにもつながずフロッピやUSBメモリも刺さないという物という定義にすべきでしょう。

回答

みなさんのおっしゃるとおりだと思います。

情報システム担当として、言うべきことをきちんと経営陣に伝えた上で、経営陣がそのように判断するなら、それはそれで「あり」だと思います。全ては経営陣が責めを負えばよいわけですから。

私は、痛い目に遭ってからでないと、正しい理解は得られない場合があると考えています。会社がつぶれるほどの痛手は痛いですが(!)、少なくとも自分のせいにされないように、しっかり文書で「このように警告しておいたでしょう。判断したのはあなたたちです」と示せるようにしておくとよいと思います。ついでに、万一の事故時は「私は関与しませんよ」とも伝えておくのがいいでしょう。後始末だけおしつけられてはかなわないですから。

そして、伝えるべきを伝えたらあとは気に病まないことです。みんなのことを考えてあげてるのに理解されず、事故が起こったら自分のせいにされるという、状況を持ち続けていては、私たちの心が持ちませんから。

2009年09月07日 09時12分

あなたもコメントしましょう!