5 返信 最新の回答 日時: Jul 18, 2011 2:11 AM ユーザー:johopper

    OSの脆弱性とセキュリティソフトについて

      特にマカフィーに限る話ではないのですが、何て答えたら適切なのか相談させてください。

       

      たとえばWindowsのセキュリティパッチが出ますよね。ウチの場合、パッチが更新可能になれば

      ユーザに基本的に充ててもらっています。管理表作って、この番号のはすでに充てている、等も管理しています。

       

      先週、ある社員から、ぼそっとこのようなことを言われました。

      「マカフィー(ちなみにVSE8,7P4です)のDATとエンジンが常に最新なら、Windowsのパッチは必須じゃないでしょ?」

      いや、パッチは充てるべきだろう。。。と思いつつも、その社員を納得させるような言葉が出てきませんでした。。。

      前にWindowsのパッチを充てたことににより、社内システムが動かなくなったこともあったため、このような意見が出たと思います。

       

      うーん。皆さんなら、どのように答えますか。。。

      素人の質問かも知れませんが、ご意見いただけますと嬉しいです。

        • 1. Re: OSの脆弱性とセキュリティソフトについて
          tomobata

          Windowsパッチは必須です。

          たとえば、DATではOSの脆弱性を狙った侵入は防げません。

          セキュリティは、"Security In depth"の考え方に基づいて、可能な限りあらゆるレイヤーで防御すべきで、Windowsパッチはそのベースです。後は、リスクに対するコストということで、セキュ リティ事故が発生した場合の損害とセキュリティにかけるコストの比較に基づいて考えるべきものです。

          と、思いますが、ほかの方の意見も聞いてみたいですので、よろしくお願いします。

          • 2. Re: OSの脆弱性とセキュリティソフトについて

            OS のパッチは必ず適用してください。

             

            OS を建物、OS の脆弱性を建物のドアや窓、セキュリティソフトをセコムに例えるとわかりやすいと思います

            (別にセコムのマワシモノではありませんが、分かりやすいので)

             

            建物内にいるときでもいなくても、セコムを掛けているからといって、ドアや窓は開けっ放しにしておけば、当然泥棒は易々と入って盗みたい放題ですよね。

             

            コンピューターも同じことです。必ず最新の状態で使ってください。

             

            > マカフィー(ちなみにVSE8,7P4です)のDATとエンジンが常に最新なら
            DAT とエンジンがいくら最新でも、(パッチのバージョンも含め)VSE が古いならダメなんですけどね。

             

            > 前にWindowsのパッチを充てたことににより、社内システムが動かなくなったこともあった
            数台のPC で数日のあいだ先行評価を行い、問題なければ全台展開をするようにすれば多少影響は抑えられるのではないでしょうか。

             

            on 11/07/11 0:33:35 CDT
            • 3. Re: OSの脆弱性とセキュリティソフトについて

              tomobataさん

              yujid50さん

               

              回答ありがとうございました!とても参考になりました。

              家と窓とセコムの例え。。。わかりやすかったです。社内でも、使わせていただいてもいいですか(笑)。

               

              ちなみに、現在は社内でWindowsのパッチを充てる前に、テストすることになっています。

              • 4. Re: OSの脆弱性とセキュリティソフトについて
                家と窓とセコムの例え。。。わかりやすかったです。社内でも、使わせていただいてもいいですか(笑)。

                こんな苦し紛れな例えでよければどうぞ使ってください(笑)

                 

                ちなみに、現在は社内でWindowsのパッチを充てる前に、テストすることになっています。

                Microsoft Windows Server Update Services (WSUS) を導入、展開できれば管理も楽になると思いますので、導入されていない環境であれば検討してみてはいかがでしょう。

                • 5. Re: OSの脆弱性とセキュリティソフトについて

                  マルウェアによってはセキュリティパッチ当てないと再感染を繰り返すものもあります。

                   

                  2009年に大流行したW32/Conficker.wormとかがいい例で、

                  セキュリティパッチ当てないと、VSEでいくら検知してマルウェアファイル削除しても再度感染します。

                  http://www.microsoft.com/japan/security/bulletins/MS08-067e.mspx

                   

                  VSEのOASはメモリスキャンが出来ず、

                  パソコン内動きを全てリアルタイムチェックできない為、

                  VSEがあるから…とか思うのは危険です。