セキュリティとひと口にいってもいろいろありますが、エフセキュアの主力製品はアンチウイルスソフトです。パソコンやサーバーのエンドポイントのセキュリティを守る手段として、アンチウイルスソフトは必須の存在です。なのですが、ほかのソフトウェアとの互換性確認などの検証、ライセンスの管理、セキュリティポリシーの設定など、コストや手間がかかるのも事実です。それでは、この手間を軽減する方法はないのでしょうか?それを考えるために、アンチウイルスソフトを導入する理由をおさらいしましょう。
ウイルス対策の必要性
アンチウイルスソフトは、コンピュータウイルスなどの悪意あるプログラムである「マルウェア(Malware)」の実行を阻止するためのものです。マルウェアによる被害は様々ありますが、企業における悪影響の代表は、
- PCに保存されたデータが盗まれる
- PCが外部への犯罪行為に使われてしまう
という2点ではないでしょうか。
犯罪行為に利用されれば、法律上の問題にならなくとも、風評被害が発生するかもしれません。また、個人情報が漏えいすれば、企業の信頼性にかかわる問題となってしまいます。
最近のOSでは管理者権限の設定などのセキュリティがありますが、基本的にPCはソフトウェアを自由に実行できます。パッケージ販売された商用ソフトウェアかもしれませんし、Webなどで公開されているフリーソフトかもしれませんが、どのような入手経路であれ、ユーザーは使いたいソフトウェアを使うことができます。
この自由は、マルウェアに対しても同様です。普通のユーザーはわざわざマルウェアをダウンロードし実行することはしませんし、OSベンダーもセキュリティ警告機能を付けるなどマルウェアに感染しないための工夫を行なっています。それでもPCのマルウェア被害はなくならないのですが、その根本的な理由の1つが、自由にソフトウェアを利用できるPCの特徴があるのです。
そのため、PCではアンチウイルスソフトウェアなどが必要となるのですが、逆にPCが持つ自由を制限することでウイルス感染を防ぐ手法があります。
1つ目のアプローチは入手経路を限定する方法で、実際に行なっているのがアップルのiPadやiPhoneなどです。専用のOS「iOS」を搭載するこれらのデバイスは、アップルが運営するオンラインサイト「App Store」以外からソフトウェアを入手することはできません。OSの仕組みとして、App Store以外から入手したソフトウェア、たとえばWebサイトからダウンロードした実行ファイルなどは実行できないのです。そのため、すべてのソフトウェアはアップルの責任において、安全であることが確認されているといえます。
なお、iOSのぜい弱性などを悪用することで任意のアプリケーションを実行できるようにする「ジェイルブレイク(Jailbreak)」という手法があります。しかしアップルはジェイルブレイクを認めておらず、アップルによるサポートも受けられなくなるようです。
ソフトウェアの実行しなければ、アンチウイルスも不要に
もう1つのアプローチは、アプリケーションをWebアプリケーションにしてしまう方法です。これはGoogleの「Chrome OS」が採用しており、Webブラウザ「Chrome」からWebアプリケーションを実行して利用する方式です。Webアプリケーションが実行されるのはWeb サーバーで、その結果の画面イメージなどが手元に送られるだけです。
このように、クライアント側ではソフトウェアは実行されないため、アンチウイルスソフトウェアを導入する意味がなくなるわけです。
クラウドサービスから得られるもの
少し話は変わりますが、ウイルス対策の負担を軽減するには、クラウドを使う方法もあります。パブリッククラウドでアプリケーションを提供する「SaaS(Software as a Service)」では、ユーザーはアプリケーションのみを使用し、OSのウイルスやぜい弱性の対策はサービス事業者の責務になります。また、任意のアプリケーションをクラウド上で実行する「PaaS(Platform as a Service)」も、ウイルスやぜい弱性の対策はサービス事業者が行ないます。
こうしたことから、これまでオンプレミスな環境で行なっていた業務をパブリッククラウドのSaaSやPaaSに移行し、クライアントをiPadやiPhone、Chrome OSにしてしまえば、アンチウイルスソフトの運用からは解放されることになります。
現実的には、Windows系のアプリケーションが必要であったり、データ管理やセキュリティのポリシーなどから、すべてをパブリッククラウドに移行することは難しいかと思います。その場合、iPadなどの導入だけでもできれば、台数としてはクライアントのほうが圧倒的に多いため、大幅な運用コストの軽減になるのではないでしょうか。
なお、パブリッククラウドであっても、OSごとの管理を行なわなければならない「IaaS」と呼ばれる形式では、プライベートクラウド同様に、ユーザーがウイルス対策などのセキュリティに関して責任を負う必要があります。
アンチウイルス運用コスト削減以外の利点
クラウドサービスの利用は、アンチウイルスソフトの運用コスト削減以外のメリットもあります。端末を紛失しても、クライアントにはデータが保存されていないので、データ流出は起こりません。
関東・東北地方では、3月に発生した東日本大震災の影響で、夏にも輪番停電(計画停電)が発生する可能性があります。該当地域以外のデータセンターを利用するパブリッククラウドであれば、停電の心配は軽減されます。海外のデータセンターを使うサービスなら、国内の電力事情とは無縁です。
また、輪番停電の対象地域のデータセンターも、自家発電によりサービスを継続できる可能性は高いと考えられます。オフィスが停電しても、データ通信搭載デバイスによる業務継続は不可能ではありません。
オンプレミスからパブリッククラウドサービスへの移行には、サービス事業者選定のための情報収集から始まり、様々な手間はかかります。ですが、クラウドを中心とした業務体制への移行を真剣に検討して見てはいかがでしょうか。
筆者紹介:富安洋介
エフセキュア株式会社 テクノロジー&サービス部 プロダクトエキスパート
2008年、エフセキュアに入社。主にLinux製品について、パートナーへの技術的支援を担当する。
この連載の記事
-
最終回
TECH
セキュリティの根本はインシデントに備えた体制作りから -
第54回
TECH
マルウェア感染の被害を抑える「転ばぬ先の出口対策」 -
第53回
TECH
マルウェア感染を発見した際の初期対応 -
第52回
TECH
ついに成立したサイバー刑法に懸念点はないか -
第51回
TECH
施行されたサイバー刑法における「ウイルス作成罪」の内容 -
第50回
TECH
サイバー刑法が過去に抱えていた問題点 -
第49回
TECH
ウイルス作者を取り締まるサイバー刑法ができるまで -
第48回
TECH
医療ICTの今後の広がり -
第47回
TECH
重大な情報を扱う医療ICTのセキュリティ対策 -
第46回
TECH
医療ICTの柱「レセプト電算処理システム」の仕組みと問題 -
第45回
TECH
医療分野で普及が進む電子カルテシステムの課題 - この連載の一覧へ