ネット接続しないPCのウィルスチェックについて

Question

自営業手伝いです。
現在２台ネットワーク接続しているPCがあるのですが
知り合いから、顧客情報などが入っているPCはネットと切り離したほうが得策だと言われました。
そう言われてみると、メールやHPの閲覧からウィルスに感染したり、知らないあいだに情報が抜き取られている被害が多いとよく耳にします。
うちの会社はファミリービジネスの小さい会社なので、意図的にどこかから狙われるとは到底思えないのですが、メールに入ってくる融資の話や知らないところからのメールを見ていると、やはり出来ることはやっておいたほうが良いかなとも感じています。

その場合、通常なら入れておくウィルスソフトは必要ないのでしょうか？
また、PC自体のアップデートなどはネットにつながなくてはできないと思うのですが
それはどうやって行ったらよいのでしょうか？
明日から仕事始めなので、今年は少しネット環境を見直して整備しなおそうとおもっています。
よろしくお願いします。

k-josui · Accepted Answer

まず・・・
> ウィルスソフト
これはウィルスそのものです。
ウィルス対策ソフトですね。
　　　
余談はさておき
ネットから切り離してスタンドアロイとして運用するなら、ウィル対策スソフトは不要でしょう。
Windowsのアップデートも不要です。
この場合、他のパソコンで作成したファイルは開かないこと。
もし他のパソコンで作成したファイルを開くならば、その作成したパソコンは完全にウィルス対策がしてあることが必須です。
　　　　
> うちの会社はファミリービジネスの小さい会社
よくあることですが、このような会社ではWindowsのアップデートはしていないとか、ウィルス対策ソフトは何でもいいから入れてさえ置けばいい（無料の物）という所が多いのです。
無料のウィルス対策ソフトを使うには、それなりのスキルが要求されます、何でも入れてさえ置けばいいというのは間違った運用です。
このような質問では無料のウィルス対策ソフトを勧める方がいらっしゃいますが、先にも書いた通りそれは十分なスキルのある人が使うものであり、失礼ですがこのような質問が出る程度のスキルで、しかも会社のパソコンにインストールはしない方がいいでしょう。
　　　　
複数の人が操作する（使いこなすのではなく操作するだけ）パソコンではきちんとしたベンダーのウィルス対策ソフト（ノートン、あるいはカスペルスキーあたりがいいと思います）を使って下さい。

morimu · Answer

直接の回答ではないのですが！

質問者さんは回答の良し悪しが判ります？
2重ルータの話はなかなか理解出来ないでしょうが、現実的な解答だと思います
商売に使っているなら少しお金が掛かりますが試してみる価値は有ります。
設定が難しければ又ここで聞けば良いのでは？

それと家族で使うなら2台共アンチウイルスソフトは入れておく方が良い気がします、個々人どんな使い方をするか判りませんからね。

John_Papa · Answer

No.6に追加回答です。
さて、会社におけるセキュリティ問題は、人が介入する事の方が多い。
インターネットアクセスが禁止されたＰＣでこっそりインターネットする社員がいたり、チャットやファイルの共有ソフトを持ち込んだりなどされれば多重ルーターなど物的セキュリティの意味は無くなる。
マルウェア持ち込みだけでなく、ＵＳＢやＣＤＲの媒体とか印刷物やメモ書きを含めて情報の持ち出しや、悪意が無くても置き忘れなどにより情報が漏えいする。
インターネットに接続することだけが、外部に情報が漏れることではない。
これは、マシンのセキュリティとは別に取り組まなくてはならない、メンタルなセキュリティ問題でしょう。

家族も同じ回線でインターネットするようなホーム企業なら、なおさら家庭用と仕事用でセグメントを分ける必要があるでしょう。同じセグメントではファイル共有など容易すぎるから。
できれば二重ルーターにしなくてセグメント分けできる業務用ルーターを使用したいところだが、たかが数分間でできる設定のためのスキル習得に何ヶ月も費やしなさいということはお勧めできない。他人を頼めば設定ログインのパスワードも教えて貰えないから、変更ある毎に頼む事になる。
それよりは、ネット付きホテルやマンション・学生寮などで他の部屋に対するセキュリティを確保できるポータブルルーターみたいに、既存のルーターにルーターを継ぎ足して使う二重ルーターが手軽で経費も安くてお勧めできる。という訳です。
ただし、（最近見かけないが）ＷＡＮがインターネット(PPPoE)しか使えないルーターは二重ルーターには使えません。

nekobox · Answer

nekoboxです。

ホワイトリスト方式を回避する手法は実は他にもありましてね。

ホワイトリスト、つまりは安全であるとわかってるプログラムを予め登録しておいて、それ以外のプログラムは一切起動できないようにする方法ですが、では、安全であるとしたプログラムに成りすまされたらどうなるでしょうか。実はこれ出来てしまうんですよね。一番よく狙われるのはブラウザです。一般的に使用頻度高いから。

実際にこれはどういう風に行われるのかというと、プログラムのプロセスが使うメモリ領域へのインジェクション(介入)です。プロセスインジェクションといいます。

実はNorton Internet Securityなどでも設定を変更しないとこのバイパス手法防げないです。ノートンユーザーのみなさん知っていましたか？こういうこと。具体的にはSmart Firewallの拡張設定画面におけるイベント監視で「コードインジェクション」をオンにしておく。

あの、今のウイルス開発側は当然対策ソフト対策考えてます。検出されてあっさり駆除されたんじゃ意味なくなるから。今じゃマルチエンジンのあのG Dataでさえ検出回避させるの可能になってます。実は私は具体的にどのような方法使ってるのかよく知ってます。

セキュリティー語るならこういうことも含めた解説できないと駄目なんだよね。

もっとも、インターネットに接続しなければ直接は外部に情報が漏れたりしないですけど、USBメモリを介してインターネットに接続してるPCから外部に情報が出て行ってしまう可能性は十分あり得ます。

John_Papa · Answer

二重ルーターを利用する。と良いでしょう。
それとウイルス対策ソフトの他にMicrosoft無料純正アプリのＥＭＥＴを利用しましょう。

※二重ルーターとは、

[インターネット]
　　　　｜
　[ルーター１]
　　　　｜└ＰＣ１
　[ルーター２]
　　　　｜
　　　ＰＣ２

のような構成をさします。
このようにすると、ＰＣ２からインターネットやＰＣ１には接続できますが（もちろんＩＰアドレスを知っている必要はありますが）、ＰＣ１からＰＣ２へ接続することはできません。つまり、ネットワーク感染するようなウイルス（ワーム）にＰＣ１が感染してもそこから勝手にＰＣ２に感染することはできない訳です。
ホームページ閲覧やメールはＰＣ１で行い、ＰＣ２ではアプリケーションやＯＳの自動更新など以外は禁止しておきましょう。

家庭で使用なら面倒なだけですが、
少し大きな会社ならＰＣ１のところにサーバー、
ルーター２の横並びにルーター３、ルーター４など部門別のルーターが有ったりします。
インターネットへの接続設定はルーター１で行います。
ルーター１とルーター２の外部ＬＡＮ（ＷＡＮ）はＩＰの自動取得(DHCP)で構いませんが。内側ＬＡＮ（ＰＣが繋がる側）はルーター１とルーター２で違わなくてはなりません。例えば192.168.100.0/24と192.168.20.0/24というように、それが注意点です。
/24　はアドレス設定におけるサブネットマスク255.255.255.0と同じ意味の別表記です。

事業主は間抜けなセキュリティソフトに大枚を叩かなきゃならない訳ですが、ソフトに任せっぱなしにしないで、できる対策はやりましょうね。
無線でない有線ルーターのほうが良いですが、ネット用ＰＣと簡単に分離するには安い投資です。

※ＥＭＥＴとは、

難しい説明
http://ja.wikipedia.org/wiki/Enhanced_Mitigation_Experience_Toolkit
Microsoft日本のセキュリティチームによる説明
http://blogs.technet.com/b/jpsecurity/archive/2012/05/17/3498449.aspx
ダウンロードページ
http://www.microsoft.com/en-us/download/details.aspx?id=29851
インストールや設定方法
http://kuni92.net/article/298887171.html
手短に言えば、脆弱性のあるアプリを利用してウイルス感染しようとしたら、そのアプリをフリーズさせて感染防止する仕組みです。
もちろんアップデートで脆弱性を無くす方が（フリーズしなくて済むし）良いですが、アップデートが間に合わない場合でも助かる可能性がある事は良いことです。実例というか、参考記事。
http://www.itmedia.co.jp/enterprise/articles/1209/19/news024.html

nekobox · Answer

はいどうぞ

インターネットから隔離さらたネットワークでも感染が起きました。USBメモリ経由

http://www.nhk.or.jp/gendai/kiroku/detail02_3221_all.html

なお、ホワイトリスト方式という言葉が出てきますけど、実はこれにも盲点がありましてね。絶対的対策ではないです。

実は私はDrive by Downloadという攻撃手法を最近よく調べてまして、わざと攻撃を仕掛けてくる悪質なサイトにアクセスしたりしてデータ取りをしたりしてるのですが、ペイロードにあたるプログラムが3つほど送り込まれてきまして、このうちの2つのプログラムにはなんと不正に取得したと思われるディジタル署名が使われていました。これ、ホワイトリスト方式の突破を画策したと考えてます。

なぜなら、最近の対策ソフトでは「ディジタル署名をもつプログラムには自動的に許可を与える」といった設定がある場合があるからです。

ね。こうした攻撃者のバイパス手法も解説できたりするの私ぐらいです。

OSやアプリケーションの修正アップデートはやらないと駄目です。基本だから。

ちなみに、ノートンは能力高いけどいかなるシチュエーションであっても100%守れるというわけではないです。有力ソフトでも駄目なときは駄目です。

あと、データのバックアップ、システムバックアップも当然考えておかないといけません。

okokwa · Answer

ウイルスはＵＳＢメモリや他のアプリケーションからも感染する恐れがあるので
隔離したＰＣにもいれておいた方がよいかと思います
ウイルスソフトによってはメーカーがアップデータのみを個別に配布しているところもあるので（その他の方法としては最新版を周期的にいれるなどもあります）

ご検討ください。

TXV12003 · Answer

そのパソコンに他のパソコンとデータをやりとりする可能性があるＵＳＢメモリや外付けドライブ、その他メディアを接続する可能性がない限り、ウイルスソフトは不要でしょう。　万全なのは、ＵＳＢポートやＬＡＮ端子、内蔵無線ＬＡＮを破壊しておくことです。

shintaro-2 · Answer

>その場合、通常なら入れておくウィルスソフトは必要ないのでしょうか？

他のPCと記録メディア（USBメモリ、CD-R他）でデータをやり取りする（正確にはもらう）ことが無ければ、必要ありません。

>また、PC自体のアップデートなどはネットにつながなくてはできないと思うのですが
>それはどうやって行ったらよいのでしょうか？

ネットに接続したり電子データをもらうことが無ければセキュリティホールがあっても関係ありませんので、OSやソフトのアップデートも不要です。

アプリケーションソフトのアップデートがどうしても必要であれば、他のPCでファイルをダウンロードしてそれをUSBメモリ等で移してインストールすることになります。

そのダウンロードしたファイルに心配があれば、ウィルス対策ソフトをインストールすることになります。

ネット接続しないPCのウィルスチェックについて

まず・・・

直接の回答ではないのですが！

<br /> No.6に追加回答です。<br /> さて、会社におけるセキュリティ問題は、人が介入する事の方が多い。<br /

nekoboxです。

二重ルーターを利用する。

はいどうぞ

ウイルスはＵＳＢメモリや他のアプリケーションからも感染する恐れがあるので

そのパソコンに他のパソコンとデータをやりとりする可能性があるＵＳＢメモリや外付けドライブ、その他メディアを接続する可能性がない限り、ウイルスソフトは不要でしょう。

>その場合、通常なら入れておくウィルスソフトは必要ないのでしょうか？

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング