“Windows XP”を守るためにセキュリティソフトにできること

IT・IT製品TOP > Key Conductors > 富安 洋介(エフセキュア株式会社) > “Windows XP”を守るためにセキュリティソフトにできること
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

“Windows XP”を守るためにセキュリティソフトにできること

エンドポイントセキュリティ 2013/12/19

 前回投稿した「2014年4月…サポート終了後の“Windows XP”をどう守るか?」に沢山のコメントをいただき、ありがとうございました。XPのサポート終了が多くの方々にとって重要な関心事であることが改めて確認できました。当初はXPのトピックは前回のみの予定でしたが、反響を受けてもう少し掘り下げてお話ししたいと思います。

 今回はセキュリティソフトの集中管理機能を利用して、XPを“比較的”安全に使用する方法を紹介したいと思います。あくまでも何もしないよりは“比較的”安全なだけであり、サポートされているOSになるべく早く移行することが重要であることはお忘れなく。
 また、今回は「エフセキュア クライアント セキュリティ」を使った方法を紹介しますが、他社製品でも似たようなことができる可能性はありますので、ご利用の製品の機能を今一度確認してみることをお奨めします。

パーソナルファイアウォールを活用しよう

 前回記事のコメントでもご指摘がありましたが、XPはサポート期限終了後にはインターネットに接続させないようにするべきだという意見があります。もちろん、この方法は極めて有効です。インターネットに接続しなくても業務に支障がないのであれば、接続させないに越したことはありません。ネットワークファイアウォールがある場合は、Windows XP端末のMACアドレスなどを登録して、全てのアウトバウンドをブロックしてしまいましょう。ネットワークファイアウォールを使っていない場合、あるいはモバイル通信でVPN接続を行いイントラ接続するような場合は、パーソナルファイアウォールの出番です。ファイアウォールで、業務に必要な一部の通信を除きブロックするように設定してしまいましょう。またアウトバウンドだけでなく、インバウンドの制御にもパーソナルファイアウォールは有効です。サポート終了後は、ウイルス感染の踏み台にされる危険性が高いので、Windows XPでのファイル共有はブロックするようにした方が良いでしょう。

ファイアウォールルール 作成画面

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

ファイアウォールルール 作成画面
ファイアウォールルール作成の例。上から順に解釈されるので、上から許可ルールを設定し、最後にすべてを拒否するルールを設定しましょう。

出口対策で2次被害の防止を

 インターネット接続を業務の都合上止められない場合はどうするのが良いでしょうか。セキュリティソフトの機能を使う場合、特定のアプリケーションのみインターネットに接続できるような設定をするという方法が考えられます。セキュリティソフトには、ポートやIPでなく、アプリケーションごとに通信することを許可するかどうか、設定する機能を持つ製品があります。
 当社の「エフセキュア クライアント セキュリティ」では、アプリケーション通信制御と呼ばれる機能が該当します。

アプリケーション通信制御 設定画面

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

アプリケーション通信制御 設定画面
インターネットエクスプローラだけを許可している図。Active Directoryのグループポリシーなどでブラウザのセキュリティ設定を行える場合は、特定のセキュアな設定のブラウザだけ許可するとなお良いです。

 この機能はウイルス感染後の“出口対策”としても有効です。昨今では、感染した端末からネットワーク経由で社内のほかのサーバやPCへの侵入を行なったり、外部のサーバへインターネット経由で通信を行い、情報を持ち出そうとするコンピュータウイルスが多数を占めています。ブラウザなど業務に必要なアプリケーション以外の通信をブロックしてしまうことで、内部感染拡大や情報流出といった2次被害への有効な対策になります。
 データを破壊するようなウイルスに対しては意味はありませんが、そもそもそういったウイルスは極少数である上に、バックアップなどである程度被害を抑えることができます。一度データが流出してしまうと、それを消すことは不可能なため、流出を防ぐことに重点を置いた方が賢明でしょう。

セキュリティソフトの管理の重要性

 今回紹介したようなセキュリティ機能を有効に使う場合は、セキュリティソフトを管理ツールで一元管理している必要があります。セキュリティソフトはきちんと管理できる状況にあってこそ最大の効果が発揮できるものなのです。もし現在、一元管理をしていないのであれば、この機会に管理し始めることを検討してはいかがでしょうか。
 管理ツール用のサーバ構築・運用のリソースや予算がないという状況であれば、弊社を含め幾つかのセキュリティベンダがSaaS型で管理できるソリューションを提供しているので、そういった製品に切り替えていくというのも一つの方法です。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30006888


IT・IT製品TOP > Key Conductors > 富安 洋介(エフセキュア株式会社) > “Windows XP”を守るためにセキュリティソフトにできること

このページの先頭へ

キーマンズネットとは
1979年に生まれ。2008年エフセキュア入社。プロダクトマネージャとしてLinux製品およびWindowsサーバ製品を担当。法人向け製品のパートナー/ユーザの技術的支援も行っています。これまでにもWebや雑誌などでセキュリティに関する記事を投稿。

ページトップへ