ウイルス対策および HIPS の推奨設定

  • 文章 ID: 114345
  • 更新日: 2014 6 18

推奨されるウイルス対策および HIPS の設定は、コンソールの新規インストールでの新しいポリシーのデフォルトとしても設定され、SophosLabs によって推奨される最善の保護対策を提供します。

通常の使用では、「ウイルス対策および HIPS」をデフォルト設定で実行することをお勧めします。オンアクセス検索が有効に設定されている場合、より多くのシステムリソースが使用され、起動時の CPU の使用率が増加します。

影響を受けるソフォス製品とバージョン

Sophos Endpoint Security and Control 10.0

デフォルト設定は次のとおりです。

  • ファイル検索が、読み取り時、書き込み時、ファイル名変更時に有効
  • 圧縮ファイルのオンアクセス検索は「無効」
  • 不要と思われるアプリケーション (PUA) のオンアクセス検索は「無効」
  • ファイル検索は「実行ファイルなど感染の可能性があるファイルのみを検索する」に設定
  • 「悪意のある動作を検知する」は有効に設定
  • 「疑わしい動作を検知する」は「警告のみ」に設定
  • 「バッファオーバーフローを検知する」は有効
  • ライブスキャンは有効
  • システムメモリの検索は有効
  • 「悪意のある Web サイトへのアクセスのブロック」は無効
  • 「ウイルス/スパイウェアを含むアイテムを自動クリーンアップする」は有効
  • クリーンアップを実行しない場合の操作は「アクセス拒否のみ」

重要: ソフォスが推奨する保護設定の詳細については、サポートデータベースの文章の 27267 をご覧ください。これらの設定はすべての新規インストールに対してデフォルトで適用されます。  

主な設定に関する情報は以下です。

読み取り時の検索

この検索はすべての状況に対して「有効」に設定しておく必要があります。オンアクセス検索ではクライアントマシン上のウイルスの有無をチェックします。コンピュータ上で開かれるすべてのファイルは、実行される前に確認されます。

書き込み時の検索

ネットワーク上の感染源を追跡したり、感染ファイルがインターネット経由に書き込まれる場合などに書き込み時の検索が役立ちます。ファイルが作成された場合に、ハードドライブに書き込まれたファイルが自分のコンピュータか、別のコンピュータのいずれによって書き込まれたかをチェックします。これによって、ネットワーク上のすべての共有ディレクトリから感染ファイルが拡散するのを阻止できます。

書き込み時の検索は、ネットワーク共有から拡散するウイルスの追跡に非常に有効ですが、特に管理共有のセキュリティなどのネットワーク上のファイル共有についてもチェックする必要があります。

ファイル名変更時の検索

ファイル名変更時の検索は、書き込み時の検索と同様の状況で役立ちますが、この検索で検出されるファイルは、最初は実行可能ファイルでないように書き込まれながら、実行可能なファイルに名前変更されるようなファイルです。ファイル名変更時の検索は、書き込み時の検索と同様の状況で使用する必要があります。

圧縮ファイルのオンアクセス検索

圧縮ファイルのオンアクセス検索では大量のメモリを使用します。圧縮ファイルのオンアクセス検索が使用される場合、Windows エクスプローラで圧縮ファイルが閲覧されるごとにファイルの中身がすべてチェックされます。ファイルが自己解凍型ファイルである場合、オンアクセス検索のデフォルト設定によって自己解凍コンポーネントがチェックされます。このため、オンアクセス検索によって、毎回すべてのファイルを確認する必要はありません。

圧縮ファイルの検索によってメモリおよび CPU の使用率が上昇したとして、それらのファイルがアクセスされない場合には無駄な処理になってしまいます。クライアントコンピュータ上にある圧縮ファイルにオンアクセス検索を使用する必要はありません。

  • 圧縮ファイルを開く前にチェックする必要がある場合、右クリック検索を活用します。ファイルの中身は、実行する前にオンアクセス検索によっていずれにしてもチェックされます。
  • 圧縮ファイルのグループをチェックする必要がある場合、すべてのファイルを同一のフォルダ内に置き、そのフォルダに対して右クリック検索を実行します。
  • サーバー上の圧縮ファイルをチェックする必要がある場合、スケジュール検索を活用します。

圧縮ファイルのオンアクセス検索は、スルートラフィックの一部などとして、サーバーがクライアントコンピュータにファイルを転送する前にチェックを行うような場合に役立ちます。標準のネットワーク設定の一部ではありません。

不要と思われるアプリケーションのオンアクセス検索

不要と思われるアプリケーション (PUA) は、使用に関して慎重に管理が必要なプログラムです。その中の一部のアプリケーション (ネットワークアクセス ツールやインスタントメッセンジャー クライアント) は一部の従業員にとっては有用なものです。これらのプログラムが既にネットワーク上で使用されていながら、ソフォスによって不要と思われるアプリケーションのリストに追加された場合、そのアプリケーションは即座にブロックされます。

ビジネス環境であれば、不要と思われるアプリケーション (PUA) の管理にはスケジュール検索を使用します。この場合、ネットワーク上の操作に支障をきたすことなく、使用を許可するアプリケーション、ブロックするアプリケーションを決定できます。

すべてのファイルの検索

「すべてのファイル」の検索は、ウイルスの駆除後にウイルスのすべてのコンポーネントが削除されたことを確認するために使用する必要がありますが、一般的には使用する必要はありません。

標準の「実行ファイルのみ」の検索では、実行ファイルの拡張子 (「.DOC」、「.EXE」、 「.LNK」、「 .PIF」) が付いたファイルをすべてチェックします。また、すべてのファイルの構造を簡単にチェックし、実行ファイル形式のファイルはスキャンします。

  • 別のファイルタイプも検索の対象にする場合は、検索するファイル拡張子のリストにそれらのファイルタイプの拡張子を追加してください。
  • コンピュータ上のすべてのファイルを一定の間隔でチェックした方が安全あると考える場合には、業務活動の少ない時間 (日曜日の午後など) に毎週スケジュール検索を実行するように設定してください。

コンピュータ上のすべてのファイルを検索する場合、以下の点に考慮してください。

  • 「すべてのファイル」の検索には実行ファイルのみの検索よりも、非常に長い時間がかかります。
  • ほとんどの場合、実行ファイル以外のファイルの削除が必要になることはありません。
  • 「すべてのファイル」検索でファイルを削除する場合には注意してください。感染メールが1件だけしかないメールボックスを除去したり、非感染ファイルの中に感染ファイルが1つだけしかないアーカイブファイルを削除してしまう可能性があります。

ウイルス/スパイウェアを含むアイテムを自動クリーンアップする

Endpoint 10 では、オンアクセス検索に対する「ウイルス/スパイウェアを含むアイテムを自動クリーンアップする」の設定はデフォルトで有効になっています。このオプションが有効になっていることで、コンソールにレポートされるマルウェアを処理する管理タスクが軽減されます。また、このオプションを設定している場合には、マルウェア アイテムは正常に処理されるため、ダッシュボードやコンソールのクライアントコンピュータ名に対して警告は表示されません。警告の履歴とレポートには、すべてのマルウェア検知のイベントで含まれます。

検出後の動作は「アクセス拒否のみ」に設定しておくことを強くお勧めします

悪意のある動作を検知する

悪意のある動作は、HIPS に対して有効にする必要があり、疑わしい動作の検知の親オプションになります。悪意のある動作の検知を無効にすると、HIPS を完全にオフに切り替えることになります。このオプションは選択しておくことをお勧めします。

疑わしい動作を検知する

疑わしい動作の検知によって、マルウェアのような動作のアイテムは検出されますが、ファイル/プログラムが問題ないことが分かっている場合には認証できます。デフォルトでは、このオプションは有効に設定されていますが、「警告のみ」というパススルーのオプションの場合にはファイルはブロックされません。

Endpoint 10 へのアップグレード時に、現在の設定がどのように統合されるかについての詳細は、114528 の文章をご覧ください。

バッファオーバーフローを検知する

バッファオーバーフロー攻撃の危険性はありますが、疑わしい動作の検知と同様に、報告されたファイル/プログラムが問題ないことが分かっている場合には認証できます。

ライブスキャン

ソフォス ライブ スキャンは、過剰検出を低減し、高い精度で最新のマルウェアを検出します。最新の情報が保存されるソフォスのマルウェアデータベースをリアルタイムに参照することで、新しい脅威にすばやく対応できます。新種マルウェアとして検出された場合、ソフォスから脅威定義ファイルのアップデート版を数秒内に受信できます。この高度な保護対策を活用するには、このオプションにデフォルト設定の「有効」をそのまま適用しておくことをお勧めします。

詳細は、サポートデータベースの文章 110921 を参照してください。

バージョン 10.0 でのその他の保護機能

バージョン 10.0 には、最大レベルの保護を提供するための以下の機能があります。

  • スケジュール検索での自動クリーンアップ

 
詳細情報が必要な場合やご不明の点がある場合は、 テクニカルサポート までご連絡ください。

Rate this article

Very poor Excellent

Comments