マルウェア対策は
どうするべき？

このページでは、マルウェア対策として考えるべき情報セキュリティ対策のポイントや、マルウェア対策における注意点などをまとめました。

マルウェアとは？

英語で「悪意のある（マリシャス）」と「ソフトウェア」を組み合わせたIT用語であり、コンピュータウイルスをはじめとする悪意を持ってシステムを攻撃するようなソフトウェアの総称です。悪意ある第三者がウイルスを仕込んだメールを送信したり、不正な手法でシステムへ侵入するためにハッキングツールでセキュリティを破壊したりと、さまざまな場面でマルウェアが利用されています。

IT技術が発展してきた現代において、マルウェア対策は情報セキュリティを強化する上で欠かせません。企業のセルフディフェンスとして効果的なマルウェア対策の運用体制を維持することが重要です。

マルウェア対策は事業戦略の柱の1つ

大規模企業から中小・零細企業、さらにはNPO法人などさまざまな会社や組織で、取引先や顧客、関係者の情報を収集・保存しています。その情報を適切に管理して漏えいを防止することは企業の責任であり、個人情報保護法の法律によって定められている義務です。

またパソコンやスマホ、タブレットなど人々が日常的にIT技術や各種デバイスに接しており、常にマルウェアの影響を受けやすい環境が広がっています。そのため企業としては自社の防衛戦略としてマルウェア対策を強化するだけでなく、クライアントのセキュリティインシデントに巻き込まれないためにも対策を講じなければなりません。

マルウェアへの感染経路

自社のパソコンやスマホがマルウェアに感染してしまう経路は複数のものが想定されます。そのためまずは代表的な感染経路を把握しておき、適切な対策を講じることが大切です。

マルウェアが仕込まれた
サイトへの訪問・閲覧

感染するリスクとして大きなものの1つが、不審・悪意あるサイトを訪問したり、そこで提供されているコンテンツを閲覧したりしてしまうことです。海外の不審なサイトや運営者が不明でいかがわしいコンテンツを提供しているようなサイトでは、サイトへアクセスした時点でマルウェアを送り込まれるリスクがあります。またそれらのサイトで提供されているファイルやデータをダウンロードしてしまうと、自らマルウェアを招き入れてしまうでしょう。

メールの添付ファイルや
リンク

添付ファイルとして電子メールで送付されたり、メール内に記載されたリンクによって悪意あるサイトへ誘導したりといった手法もあります。不審な差出人からのメールは開かずに、削除したり迷惑メールとして排除したりするのが好ましいですが、一見するといかにも各種サービスや企業からの公式メールであるかのように装っているものも少なくありません。特に大手銀行やECサイト、公的サービスなどの名称を騙って、案内や通知のように偽装しているスパムメールも多いため注意が必要です。

マルウェアが仕込まれたソフトウェアやアプリケーション

インターネット上で提供・公開されているソフトウェアやアプリケーションの中には、システムの一部にマルウェアが仕込まれていたり、あらかじめセキュリティホールを作って脆弱性を高められたりしているものもあります。無料のソフトウェアの中には便利なツールも多々ありますが、作成者が不明であったり、そもそも公式メーカーから提供されていなかったりするソフトウェア・アプリについては一切使用しないようにしましょう。

ネットワークを介した
サイバー攻撃

こちらがリスクのある行為を一切しなくても、悪意ある第三者から狙われてサイバー攻撃の対象になることも少なくありません。無差別なサイバー攻撃だけでなく、特定の企業や団体をターゲットにした標的型攻撃の場合、ネットワークを介してハッキングの攻撃を継続的に受けて、マルウェアを送り込まれることもあります。

マルウェア対策として
考えるべき方法

パソコンやスマホといったデバイスを使う以上、日常的にマルウェアへの感染リスクが存在します。そのため適切なマルウェア対策を導入することが大切です。

セキュリティ対策ツールを
導入する

マルウェア対策として代表的な方法の1つが、ウイルス対策ソフトやファイアウォールといったセキュリティ対策ツールを導入して活用することです。例えばWindows OSであれば独自のセキュリティ対策システムを搭載しており、さらにソフトウェア開発会社から販売・提供されている各ウイルス対策ソフトやセキュリティ対策ツールを導入すると、情報セキュリティのレベルをより一層強化できます。また銀行のネットバンキングサービスでは、銀行が顧客に独自のセキュリティ対策ツールを利用するように推奨してくることもあるようです。

OSやシステムのバージョンは最新の状態を保つ

どれだけ優れたセキュリティ対策ツールを導入しても、システムの基盤となるOSやアプリケーションの環境が古くて脆弱性の高いものであれば、外部からのサイバー攻撃を防ぐことはできません。OSや各種システムのバージョンは常にアップデートで最新版の状態をキープすることが必須です。作業機器との互換性による問題でシステムの刷新が難しい場合は、一切のネットワークから切り離してスタンドアロンの運用を検討するようにしましょう。

不審なサイトへのアクセスや不審なファイルの開封をしない

マルウェア・セキュリティ対策では、従業員へのIT・情報リテラシー教育も大切です。不審なサイトにはアクセスしない、不審なメールは開かないし添付ファイルも解凍しない、不要なソフトやアプリはダウンロードしないなど、抜本的なリスク教育と行動規範を共有して徹底します。

ネットワーク環境そのものをセキュリティ性に優れたものにする

一般的に使われているインターネットは公衆回線を利用しており、不特定多数の人がネットワーク上を行き交っているような状態です。企業の情報セキュリティ対策として、インターネットのネットワーク環境そのものを高セキュリティなものにするのがいいでしょう。またVPN（仮想プライベートネットワーク）のように、インターネットを利用しつつも拠点間でプライベートなアクセス環境を構築するといった方法も有効です。

マルウェアの被害をMDM（モバイルデバイスマネジメント）で防ぐ

MDM（モバイルデバイスマネジメント）はモバイル端末を一元管理するITツールです。MDMを導入すると、自社業務で利用している各従業員のスマホやタブレットをまとめて管理できます。MDMによって全端末のOSのアップデートを管理したり、適切なセキュリティ対策ツールをインストールしたりして、従業員の操作ミスや更新忘れを予防できます。またMDMにはVPNに対応している製品もあり、さまざまな観点からマルウェア・セキュリティ対策を実行できることも強みです。

＞＞低コストで導入しやすいMDM一覧はこちら