質問

2011年01月02日 23時00分
  • ウィルスが検出・隔離された後の手続きについて

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

通常、企業向けのウィルス対策ソリューションを導入している場合は、
ウィルスの検出・隔離情報はシステム管理者にメールなどで通知されるか、
またはシステム管理者が管理画面で確認できるのではないかと思います。

弊社は管理画面で確認するタイプなのですが、これに関連して悩みがあります。
それは、ウィルスが検出され隔離したことを確認した後の手続きです。

例えば、検出・隔離の都度、そのPCのユーザに通知して注意を促すなどをも考えられると思います。
しかしながら、仮にそうするとしても、ユーザから「一体何に気をつければいいのか?」と返されたときに
答えようがないような気がするのです。
(まあ、怪しげなWebサイトに行かぬように警告する程度の話はできそうですが)
かといって、そのまま静観するのもどうかなという気もします。

みなさんの会社ではこのようなケースではどのような手続きをされていますか。

事例やアドバイスなどいただければ幸いです。

2件の回答があります

回答

私の場合は
「検出されて隔離された」時は基本的には本人に注意だけで特に対策しません。「検出されて削除出来ませんでした」が出た場合はユーザに全面スキャンをかけて1つでも発見されれば再インストールするように指示します。検出されないでも定期的なスキャンで発見されたときも様子を見て再インストールするように指示します。
ということぐらいですね。
再インストールは抵抗が有りますがいくら駆除しても残る場合があるので「やれ」と厳命です。

2011年01月05日 12時25分

回答

bunnymen さん、こんちは

 以前いた会社でセキュリティ担当をさせてもらった時の
 経験でお話しさせていただきます。

 その会社では、昔にウィルスでの感染被害にあってからきめ細かな対応を
 していたと感じています。

 対策は、サーバとPCクライアントに導入しているウィルス対策ソフトを
 異なったものにしていました。
 これは、ウィルス検知におけるウィルス対策会社の個性の違いによる
 検知方法で、ウィルス検知の早期化を考えたものと思われます。

 じゃぁ、実際にPCクライアント側でウィルス検知・隔離が見つかった場合
 まず、そのPCは、ネットワーク(LAN)から物理的に隔離する。といった
 ことが原則となっていました。(LANケーブルを抜く。)

 その後、セキュリティ担当(私など)が、最新のウィルス定義ファイルと
 スタンドアローンでのウィルス対策ソフトをもって、同PCで改めてウィルス
 検索を行っていました。

 最新のウィルス定義ファイルをPCに導入して、フルスキャンを行い、
 新たなウィルスが発見されないことを確認。
 次にスタンドアローンでのウィルス対策ソフト(何を使ったか忘却)で
 フルスキャンを行い、新たなウィルスが発見されないことを確認。

 上記、2点でウィルス検知がされなければ、ネットワークへの復帰が
 認められ、同PCの業務再開となります。
 もし、ウィルスが検知され、駆除できない時は、同PCは、再インストールと
 いった形になります。

 ちなみにWEBからのウィルス侵入で見つかった場合は、ファイアウォール
 にて、同サイトへのアクセスを遮断するといった方式がとられていました。

 一度、ウィルス検知された方のWEB閲覧は、厳しく制限されていました。
 検知後2,3日は、ファイアウォールでWEB閲覧先をすべてチェックされて
 ました。ただし、WEB閲覧についての制限は、厳しくしていませんでした。
 
 ちなみにUSBは、個人での持ち込は厳禁で、当然データの持ち出しも厳禁
 となっておりました。
 従いまして、USBからの感染は、他社から持ち込まれる外部メディアのみ
 となります。このメディアも一度ウィルス検査を行われてから使用部署へ
 渡すといったことを行っておりました。
 

あなたもコメントしましょう!