「Windows XP」のサポート終了以降、脆弱性攻撃への根本的な対策は事実上、不可能となる。このリスクを低減するために、対象端末をインターネットから隔離するという声があるが、これは万全とは言い切れない。セキュリティの脅威はUSBメモリやクローズドネットワークなどからも侵入してくるからだ。また端末をインターネットから隔離することで、パターンファイルの運用が困難になるという副作用も出てくる。そこでトレンドマイクロが提案しているのが、脆弱性攻撃対策が可能かつパターンファイル更新不要のセキュリティ対策「ロックダウン」だ。利用している業務アプリケーションの都合上、どうしても残ってしまうXP搭載端末を特定用途化し、最新OSへの移行までの時間的猶予を与えてくれる“最後の砦”だ。

ロックダウン型セキュリティ対策ソフト　Trend Micro Safe Lock

　Windows XP（以下、XP）のサポート終了が2014年4月に迫り、最新OSへの移行はまさに“待ったなし”の状況にある。ユーザー企業は、その緊急性について十分に理解していても、身動きがとれないケースがある。研究開発/製造現場における分析・検査装置の端末、設計部門のCAD端末、工場の生産/在庫/工程管理端末、経理部門の会計端末、またはスクラッチ開発したIE6ベースのウェブアプリケーションを利用するための端末など、短期間でのシステム改修が困難で、どうしてもXP搭載の特定用途端末が残ってしまうケースだ。

　そのような、どうしてもXP搭載の特定用途端末を使い続けざるを得ない中で、セキュリティ対策をどうすればよいのかというユーザー企業の課題に応えるために、最後の砦としてトレンドマイクロが提案しているのが、「ロックダウン（システムの特定用途化）」と呼ばれる対策だ。

　トレンドマイクロの上田勇貴氏によると「ロックダウンとは、あらかじめ決められた用途にのみ、システムを利用できるようにすること」であるという。これを実現するのが、「Trend Micro Safe Lock」（以下、TMSL）というセキュリティ対策ソフトウェアだ。「アプリケーション制御、脆弱性攻撃対策などによる多層防御によって、ウイルスをはじめとする不正プログラムの侵入や実行を防ぎます」と、上田氏は説明する。

　アプリケーション制御は「TMSL」の核となる機能だ。あらかじめ許可リストに登録されたアプリケーションの実行を可能とし、後からシステムに混入するファイルベースのウイルスがあったとしても、その実行を防止する（ホワイトリスト）。この仕組みのため、日常的なパターンファイルの更新が不要で、インターネット接続から隔離された環境においても、運用性を阻害しない。また、脆弱性攻撃対策機能を有しており、USBメモリやネットワーク接続など、多様な経路から侵入してくる脆弱性を利用した攻撃を遮断し、ウイルスがシステムに混入するリスクを抑える。加えて、プログラムの挙動を監視するなどし、例えばバッファオーバーフローの脆弱性を利用して不正コードを実行しようとしたり、実行中プロセスに対して強制的に不正なDLLをロードさせようとしたりする不正実行を防止する。これらによりシステムを特定用途化し、ウイルスをはじめとする不正プログラムの侵入・実行を防止するのだ。

容易な導入・運用を支える簡易オペレーション

　とはいえ、気になるのは「TMSL」の使い勝手だろう。目的のアプリケーションを構成する実行ファイルやDLLを洗い出し、手動で許可リストに登録しなければならないのでは、多大な手間と時間がかかってしまう。仮に許可リストへの登録漏れがあった場合、実務でアプリケーションを実行している途中で、エラーを起こして停止してしまう恐れもある。

　「そのような事態にならないように、TMSLはわかりやすいGUIをはじめとした、簡易オペレーションを実現するさまざまな機能を提供しています」と、上田氏は強調する。その一つが、「許可リストの自動収集機能」である。上田氏は「TMSLをインストールする際、端末内に存在する実行ファイルをTMSLが自動的に収集し、許可リストに登録するため、許可リストの設定の手間を大幅に低減できます」としている。

　さらに動作検証を効率的に行う機能として、アプリケーション制御などの各種セキュリティ機能は無効化したまま、実行可否といった判断結果のみをログとして残す「モニタリングモード」が用意されている。上田氏は「この機能を使ってしばらくテスト運用を行い、動作上の問題がないと確認できた時点で本番運用を始めるということも可能です」とアピールする。また、ロックダウン以降のアプリケーションの更新に、柔軟に対応しているのも「TMSL」の簡易オペレーションを実現する要素の１つ。「インストーラのプロセスをTMSLが監視し、インストーラによって追加や変更が行われた実行ファイルを自動的に収集し、許可リストに追加するのです」と、上田氏は言う。

インストール不要のUSBメモリ型ウイルス検索・駆除ツールも

　もっとも、このような対策を施せるのは、ソフトウェアのインストールが可能な端末に限られる。例えば、医療用検査装置など、そもそもソフトウェアのインストールが禁止されている場合には、どうすればよいのだろうか。この場合、感染予防措置に限界があるため、ウイルス感染することを前提として捉え、迅速な回復手段を用意しておくことが重要だ。

　トレンドマイクロでは、そのようなケースを想定したソリューションとして、「Trend Micro Portable Security」（以下、TMPS）と呼ぶUSBメモリ型のウイルス検索・駆除ツールを提供している。「まず、TMPSをインターネットに接続可能な環境にある管理用コンピュータに挿して、TMPS内のパターンファイルなどを最新にします。その後、対象端末に挿すことで、ソフトウェアをインストールすることなくウイルス検索・駆除ができるのです※注1」（上田氏）という。

　最新OSへ移行することが大前提であるが、どうしてもXP搭載端末を使い続けざるを得ない場合は、端末特性に応じて「TMSL」や「TMPS」の利用を検討すると良いだろう。