運用管理者必見!アンチウイルス製品の入れ替えのポイントとは?

セキュリティ,運用管理

はじめまして!システムマネジメントサービス部の大塚です。私は日頃から顧客先で情報セキュリティに関する業務支援をおこなっています。一言に情報セキュリティといっても、セキュリティインシデントから各セキュリティ製品の運用保守と多岐に渡ります。

特に情報の鮮度が求められる情報セキュリティの世界では各製品のサポート切れは致命的なセキュリティホールとなる可能性があるため、迅速な対応が求められることが多いと思います。

今回は、特にアンチウイルス製品に特化して、その対応の勘所を紹介していきたいと思います。

このブログで伝えたいこと

アンチウイルス製品の入れ替えのきっかけとなるのは、EOSL対応であることが多いと思います。このブログでは以下の順番で説明していきたいと思います。

  • アンチウイルス製品選定における検討項目
  • 入れ替え作業前の検討項目
  • 入れ替え対応実施時に発生しがちな出来事

特に運用管理者の方が頭を抱えがちなEOSL対応について、少しでも有益な情報となると幸いです。

EOSL対応における検討項目とは

EOSLに対応する大きな方針としては、大きく2点です。既存の製品のバージョンアップをおこなうというやり方と、他製品との比較をおこない製品選定から実施するというやり方です。

前述したような製品のライフサイクルだけでなく、実際にどのような機能があるのか製品ごとに比較し、最適と思われる製品の選定をおこなうというのが理想ですので、以下ではその勘所を紹介します。

製品選定について

アンチウイルス製品を選定する上で、まずはどの製品を比較対象として挙げるかというポイントがあると思います。導入対象がユーザー利用の端末かサーバか、またそのOSの種別によっても候補となる製品が変わりますので、導入対象をまずは正確に把握するところからスタートし、比較対象を3製品から4製品に絞っておくと良いと思います。

製品比較をおこなう上での確認ポイントは主に以下の5点です。

  1. アンチウイルスで何を保護すべきなのかの要件整理
  2. 製品のライフサイクル・サポート期限
  3. ライセンス費用
  4. セキュリティ追加機能
  5. メーカーサポート・問い合わせの充実度

以下に項目ごとの説明をしていきます。

【確認ポイント①】アンチウイルスで保護すべき要件の整理

どのような攻撃から守りたいのか、保護すべきシステムやデータはどういったものか、再整理し要件定義をおこない、この機会に最適な次期製品を選定することをお勧めします。

また、最近では次世代アンチウイルス(NGAV:Next Generation Anti-Virus)を導入するケースも増えています。NGAVではマルウェア特有の動作を手掛かりに未知のマルウェアの検知が可能となるなど、既存のシグネチャベースのアンチウイルスと比較しても機能が格段に向上しています。

次期製品選定を検討されていましたら、是非とも候補に入れていただきたいと思います。

【確認ポイント②】製品のライフサイクル・サポート期限

各製品によってライフサイクルの方針がありますので、注意して確認してください。

例えば、新バージョンのリリースは3年ごとと決まっている製品で、その場合サポートされるバージョンは2バージョン前まで、というパターン。そうなると製品の更新計画の頻度を上げる必要性があります。

そのほかに多いのはOSのライフサイクルと合わせてくるパターンです。

特にWindowsServer2016以降はビルド番号によって、サポート対象が明記されていることがあるため、かつてのようなOSのサービスパックの感覚で見ていると、気が付いたらサポート対象外になっていたということが起きてしまうので、注意が必要です。

【確認ポイント③】ライセンス費用

アンチウイルス製品のライセンス費用は導入する端末台数でカウントされるパターンが多いと思います。ただ最近はサーバも仮想環境に設置されているケースが多いと思いますので、導入環境が仮想環境であったり、Iaasなどのクラウド環境の場合はどうなるかなどについても、事前に確認しておく必要があります。

また新規購入ライセンスと年間更新ライセンスで金額が異なるパターンがありますので、ランニングコスト比較として事前に確認することをお勧めします。

切り替え時の新規購入ライセンス費用は予算に計上していたのに、年間保守ライセンス費用を忘れてしまうと、後々各方面に迷惑をかけることにもなりますので、あわせて確認しておきましょう。

【確認ポイント④】セキュリティ追加機能の検討

新バージョンのアンチウイルス製品を検討する場合、単なる老朽化対応としてではなく、ぜひとも新機能についてもご検討いただくことをお勧めします。

おそらくどの製品もリアルタイムスキャン、フルスキャン、メモリ監視機能は実装されていると思いますが、ふるまい検知機能やIPS機能なども新規機能として展開されています。

特にサーバ群について、WindowsUpdateなどのセキュリティパッチを適用する運用が確立していない場合には、シグネチャベースでIPS防御できる機能を検討するのはセキュリティ強化施策として有効だと考えます。

アンチウイルスソフトの入れ替えとなると予算も高額となる場合が多いため、単なる老朽化対応としてだけでなく、セキュリティ強化につながる点をアピールできると、決裁権限のある上層部の評価も上がるのではないかと思います。

【確認ポイント⑤】メーカーサポート・問い合わせの充実度

アンチウイルス製品を入れ替えた場合、その影響で不具合が発生する可能性が高いため、メーカーサポートや、問い合わせに十分対応できるユーザーサポート体制を事前に確認しておく必要があります。

通常の問い合わせ窓口とともに、緊急事態が発生した際に営業担当者経由で技術者へ連絡してもらえるパスがあるかなど、備えあれば憂いなしなので、なるべく最悪の事態を想定してどのようなサポートが必要になるかを検討しておいたほうが良いでしょう。

入れ替え作業前の準備事項

導入するアンチウイルス製品が決まり、プロジェクト実行のGOサインが出たら、いよいよ作業準備です。
この準備段階が作業を円滑におこなうためにどれだけ重要か、運用管理の構築経験のある方であれば、容易に想像できると思います。
以下に事前検証や準備の際に欠かせない要素を列挙します。

①スキャンの除外設定を確認する導入しているアプリケーションとの相性について、事前に確認すること。
既存のアンチウイルス製品でスキャン除外設定しているものについては、設定を踏襲すべきかの判断を改めて実施すること。
②アプリケーションとの相性の確認検討しているアンチウイルス製品を導入することで障害が発生する可能性がある。
導入時のエラーや不具合がないかナレッジをベンダーサイトや窓口に確認する。
③事前検証の実施事前検証環境を検討し、可能であれば既存の開発環境などで実施するよう調整する。
検証項目については前述した機能検証だけでなく、パフォーマンス検証や既存アプリの動作検証も項目に含めること。
④コンティンジェンシープランの作成導入後の不具合発生時に対応する際の回避方法、リカバリプランを作成する。
業務継続性を優先した対応が求められるため、変更作業後の体制についても関係者と事前に意識合わせをする。
対応フロー、手順書を事前検証の上作成する。
⑤調整先の確認対象端末の一覧に合わせて、業務調整先と、運用担当者を正確に把握しておく。
先行導入し、アンチウイルス製品不具合について確認しやすい対象を選別する。
入れ替え後の対応について、事前に認識合わせをおこない、不具合確認時の対応を迅速におこなう準備をする。

一見当たり前の事前確認と思われがちですが、上記項目の品質によって、プロジェクトのやり易さにかなり影響してきます。少なくとも上記項目は漏らすことなく、可能な限り情報を集めることをお勧めします。

運用担当者との連携

プロジェクト担当者が実際に一番必要となるタスクは各システム担当者との調整です。
「運用担当者とコミュニケーションを取ってください」よく言われると思います。でも具体的に何を事前に確認すべきなのか、と思う瞬間もあるのではないでしょうか。
参考までに主要な確認ポイントを以下に列挙します。

①ログインアカウントの確認ログインID、パスワードだけでなく、付与される権限についても確認すること。
特にアンチウイルス製品は管理者権限が必須なものがほとんどのため、要注意です。
②サーバ再起動手順の確認システムによっては、冗長構成のために再起動順序などの運用手順が細かく決まっているケースがあります。
定期メンテナンスなどでおこなわれている作業内容などを確認し、手順に反映しましょう。
また運用担当者に手順の事前確認もしてもらいましょう。
③作業時間内のバッチ処理の有無確認作業時間内に定期JOBが動いていないかヒアリングしましょう。
実行予定であれば、作業スケジュールを変更するか、JOBを一時停止してもらうなどの対応が必要です。
④稼働確認依頼アンチウイルス製品の入れ替え後は、なるべく早いタイミングで稼働確認してもらえるよう調整してください。
ユーザー影響のある動作、バッチ処理の確認など、不具合が発生した場合は連携してもらい、影響範囲に応じてスピード感のある対応が必要になるケースがあります。
⑤切り戻しの判断基準の事前確認実際に不具合が発生したからと言って、何でも切り戻してしまうとセキュリティレベルが低下してしまいます。
事象の影響度によっては、入れ替え後の構成で運用するという判断も必要となるため、事前に認識合わせするのがベストです。

入れ替え対応実施時に発生しがちな出来事

こういうことが起きたら困るな、と思うことが発生してしまう傾向が高いのがアンチウイルスソフト入れ替え作業の厄介なところです。ここでは未然に防止できる事項や、発生した際の対応内容について以下に記載します。
対応順に整理しましたので、参考にしてください。

①スキャン除外設定アンチウイルス製品には必ず監視除外設定があります。
アプリケーションとの相性が悪い場合には、そのアプリの対象フォルダやレジストリを除外設定に追加し、事象が改善するか確認しましょう。
②アンチウイルスソフトの機能停止手順発生事象によって、アンチウイルス製品の一部機能を停止して切り分けるか、もしくは全てのサービスを止めて切り分けるかの作業が発生しますので、事前に手順を準備しておいてください。
③ベンダーへの提供情報の事前確認アプリベンダーとアンチウイルス製品ベンダーに問い合わせが必要になります。
問い合わせ後のやり取りでタイムロスしないために、提供を求められる情報を取得できるよう手順の確認やツールの準備をしておきましょう。
④稼働確認タスク一覧化と結果確認稼働確認というとユーザー操作に目が行きがちですが、定期バッチ処理が失敗するというケースが考えられます。
月次処置など一定期間稼働させないと確認できない項目について、失敗時の影響と障害対応時の体制について、事前整備しておきましょう。

まとめ

以上、計画段階で検討すべき勘所をお伝えしました。
以下に本日お伝えした内容を整理します。

  • アンチウイルス製品選定における検討項目
  • 入れ替え作業前の検討項目
  • 入れ替え対応実施時に発生しがちな出来事

一見すると当たり前のことが記載されている部分もあるかと思います。
しかし、いざプロジェクト担当になってみると、
「なかなか思うように検討が進まない」
「調整にばかりに翻弄されて不具合発生時の想定ケースまで整理できない」
そのような事もあるかと思い、今回ブログを書かせてもらいました。
もし今後検討する必要がある場合やプロジェクト担当となった際に、ご参考にしていただければと思います。

  • Zabbix Enterprise Appliance
  • 低コスト・短納期で提供するまるごとおまかせZabbix