2014年02月27日
Tweet
アンチウイルスソフトの運用方法について聞かれました。
で、僕自身が今まで色々なお客様の運用をしていて、標準的にはこうしているっていうのがあるので、それをまとめておきたいと思います。
■スキャンのタイミング
アンチウイルスでは、「ファイルをいつスキャンするか」という設定ができるソフトがあります。
読み込み時・書き込み時などでしょうか。
この場合、読み込み時も書き込み時もチェックするというのも良いのですが、少しでも速度を落としたくないのであれば、読み込み時のみのスキャンでも大丈夫です。
■スキャンするファイル
すべてのファイルをスキャンするという設定のほか、特定の拡張子を持つファイルを検索するという選択が可能なことが多いようです。
ここで、速度の遅いPCは特定の拡張子のみの検索に。もしくはサーバーなどは特定の拡張子のみにすることが多くあります。
そして拡張子のみにした場合には、なるべく週1回はフルスキャンのスケジュールが必要かと考えています。
■アップデートの頻度
アップデートの頻度も重要です。というのも、ネットワークの帯域を結構使うため、統一するのか、バラバラにするのか。ということが大きな要素になってきます。
例えば、月曜日の朝イチなどは、アップデートが集中する場合もあるので注意が必要です。
ただ、個人的には1時間毎ぐらいの頻度で各端末はアップデートしておけば良いのでは無いかと思っています。(デフォルトに従うのでも大丈夫です。)
※ちなみに昔のアンチウイルスソフトでは、アップデートは1日1回とか2-3日に1回という運用でした。
■ファイアーウォール
最近のアンチウイルスソフトではファイアーウォールの設定も可能ですね。
これは十分に注意する必要があります。
たとえば、リモートデスクトップを多様しているのに、それをふさぐようなポリシーになっていたり。
同じセグメント同士の通信だったら、ほぼフリーで許可になっていたり。企業で全端末にインストールしているアプリケーションに必要な通信をブロックしたり。。。
とにかくFWは大変デリケートです。そしてミスしたときの影響が大きい。
ということで、ファイアーウォールについては、テスト用のPCを用意するべきだと考えています。そしてポリシーの配布も、一括で全台にするのではなく、個別の部署や部門ごとにやる方がよりいいかと。
そしてサーバーには、もっと慎重に行い、Listen しているポートなどは事前に調べておくべきかと考えています。
■ポリシー
企業によって、色々なポリシーがあると思います。もちろんポリシーが必要なだけいくつも策定すれば良いと思います。が、よく分からない場合には、最低限サーバー用のポリシーと、クライアント用のポリシーの2つは必須だと考えるべきです。
■除外
クライアントPCのために、除外するファイルはほとんど無いと思います。
一方でサーバー用には除外が必要なファイルは多くあります。用途にもよりますが、仮想ホストなのか、DBなのか。それ以外のサーバー用アプリケーションなのか。これらについては、除外しても問題無いことが多いですし、パフォーマンスのために除外が必要な場合が多くあります。
ただし、この除外については、先に全てのファイルをスキャンする状態でインストールしてしまい、後から少しずつ追加していく方法もあります。
で、僕自身が今まで色々なお客様の運用をしていて、標準的にはこうしているっていうのがあるので、それをまとめておきたいと思います。
■スキャンのタイミング
アンチウイルスでは、「ファイルをいつスキャンするか」という設定ができるソフトがあります。
読み込み時・書き込み時などでしょうか。
この場合、読み込み時も書き込み時もチェックするというのも良いのですが、少しでも速度を落としたくないのであれば、読み込み時のみのスキャンでも大丈夫です。
■スキャンするファイル
すべてのファイルをスキャンするという設定のほか、特定の拡張子を持つファイルを検索するという選択が可能なことが多いようです。
ここで、速度の遅いPCは特定の拡張子のみの検索に。もしくはサーバーなどは特定の拡張子のみにすることが多くあります。
そして拡張子のみにした場合には、なるべく週1回はフルスキャンのスケジュールが必要かと考えています。
■アップデートの頻度
アップデートの頻度も重要です。というのも、ネットワークの帯域を結構使うため、統一するのか、バラバラにするのか。ということが大きな要素になってきます。
例えば、月曜日の朝イチなどは、アップデートが集中する場合もあるので注意が必要です。
ただ、個人的には1時間毎ぐらいの頻度で各端末はアップデートしておけば良いのでは無いかと思っています。(デフォルトに従うのでも大丈夫です。)
※ちなみに昔のアンチウイルスソフトでは、アップデートは1日1回とか2-3日に1回という運用でした。
■ファイアーウォール
最近のアンチウイルスソフトではファイアーウォールの設定も可能ですね。
これは十分に注意する必要があります。
たとえば、リモートデスクトップを多様しているのに、それをふさぐようなポリシーになっていたり。
同じセグメント同士の通信だったら、ほぼフリーで許可になっていたり。企業で全端末にインストールしているアプリケーションに必要な通信をブロックしたり。。。
とにかくFWは大変デリケートです。そしてミスしたときの影響が大きい。
ということで、ファイアーウォールについては、テスト用のPCを用意するべきだと考えています。そしてポリシーの配布も、一括で全台にするのではなく、個別の部署や部門ごとにやる方がよりいいかと。
そしてサーバーには、もっと慎重に行い、Listen しているポートなどは事前に調べておくべきかと考えています。
■ポリシー
企業によって、色々なポリシーがあると思います。もちろんポリシーが必要なだけいくつも策定すれば良いと思います。が、よく分からない場合には、最低限サーバー用のポリシーと、クライアント用のポリシーの2つは必須だと考えるべきです。
■除外
クライアントPCのために、除外するファイルはほとんど無いと思います。
一方でサーバー用には除外が必要なファイルは多くあります。用途にもよりますが、仮想ホストなのか、DBなのか。それ以外のサーバー用アプリケーションなのか。これらについては、除外しても問題無いことが多いですし、パフォーマンスのために除外が必要な場合が多くあります。
ただし、この除外については、先に全てのファイルをスキャンする状態でインストールしてしまい、後から少しずつ追加していく方法もあります。