- ベストアンサー
ネット接続環境のないPCのウィルス対策
学校の役員で一台のパソコンを使っています。 インターネットの接続はしていません(できません) 不特定多数の人間がUSBでデータの出し入れをしておりウィルス対策をしたいと思っていますが、セキュリティソフトは更新が必要ですよね。シマンテックに問い合わせたところ、インターネット接続環境でなければアップデートできないので・・・・・という感じの答えでした。 ネット接続不可のパソコンでのウィルス対策はどうしたらよいでしょう? よろしくお願いします。
- rain5away
- お礼率56% (13/23)
- ウィルス・マルウェア
- 回答数8
- ありがとう数8
- みんなの回答 (8)
- 専門家の回答
質問者が選んだベストアンサー
No.2です。 状況が少しわかりました。 PTAということでしたら、提案なんですが、こんなふうにはできませんか? 毎月第2火曜日を含む週を定例メンテナンス週と定め、PCのメンテナンスを恒例化する。 これは、Microsoftの月例アップデートが、米国時間の2火曜日で有ること、Adobe Readerなどもアップデートを同じ日程に合わせてきたこと。 よって、定例メンテナンス週の水木金土は学校のネットに接続させていただく。 接続方法は、無線ルーターと耐久性と適度な大きさがあるという利点でLAN端子用無線子機の組み合わせとし、無線ルーターのWAN側を学校のLANに接続する二重ルーター構成にする。 暗号化はWPA2でクライアントのMacアドレス制限でLAN端子用無線子機のみが接続できるようにする。 無線親子機は学校のSEさんに設定してもらい、両無線LAN機器の管理も学校にしてもらう。定例メンテナンス週の水木金土のみ親機の電源を入れ子機を出してもらう。 理由: これらのアップデートは、プログラム不具合の修正もありますが、主としてセキュリティの脆弱性対策です。 ウイルス等のマルウェアは、多くの場合感染ルートにこれらOSやアプリケーションソフトの脆弱性を利用します。アップデートが出る前に独自に脆弱性を見つけて攻撃してくる事も無くはないのですが、概ねアップデートを解析して脆弱性を見つけて攻撃して来ます。したがって、アップデートを最速でしておくことがセキュリティの基本条件と言えます。 2年前でしたらVistaですね。Vistaでは「セキュリティが強化されたWindowsファイアウォール」も利用できますので、Microsoft Security EssentialsがWindows Updateで定義ファイルも自動更新されるし、初心者負担も少なく、対ウイルスもなかなか好成績でPTA向きかと思います。 LANの方は、二重ルーター構成となることでPTAのPCは無線LAN親機のファイアウォールに保護され、学校側のPCからPTAのPCを覗いたり攻撃する事ができません。またPTA側のPCからも学校LANのアドレスを知る事ができず、同じLANに繋がっているPCのごとく検索することもできなません。学校のSEさんに設定してもらうのは学校LANのセキュリティ保護の為である。 学校によっては、グローバルIPを必要分だけ取得するのではなく、IP8のようにパックで契約して安価に納め、使われていない空きIPを所有している事も有る。そのような場合には空きIPをPTAに回して貰うことも不可能ではないと思います。そんな話がポロリと出てくればお互いの利益となりますね。 こんなふうにできればセキュリティだけでなく、OSもアプリケーションも最新と言える状態を保つ事ができるんじゃないでしょうか。
その他の回答 (7)
- ta87654321
- ベストアンサー率28% (2/7)
そうですね。 今の状況は極めて危険だと思います。 ネットに接続できないなら、USB使用機器は不可能にするソフトを入れるか USBポートをつぶしてしまうのがいいと思います。 そもそもUSBメモリーを使う必要はどこにあるのでしょう? 一般企業でも禁止事項としていますよ。
再び halfdark です。 >PCは学校に置いてあるデスクトップなんです・・・ デスクトップだと思っていました。 今なら6~7万でノートが買えるんですけどねぇー (あとは役員の意識の問題なんだけど………) 学校ではインターネット環境は無いのでしょうか? LANなどでインターネット接続はできないのでしょうか? 私のマンションのHP(管理組合の管理)があるんですが、役員の全てが PCに精通しているわけじゃないので、2年前から更新されていません。 (今後も店晒しでしょう)最初からやらなきゃ良かったのにと思っています。 役員は1年毎の互選なので、何も変わらないし、変えようとはしません。 学校の役員でも同じでしょうね。 なのにPCを購入した………運用がうまくいかないのならアナログに戻るの も選択肢の一つです。(昔のガリ版もいいかも?) そもそもデスクトップのPCで何をしているのですか? 学校に置いてあるのなら、使用するにはわざわざ学校に行かなければならな いのですよね。役員の中にはPCを使えない人もいるのでしょう? 皮肉な言い方をすれば、ひとりのセキュリティ意識の無い人がそのPCを 利用した際にウィルスに感染させ、知らずに利用した他の人のPCにも伝染 させ、その被害が拡大していく可能性は大です。 今の環境でそれを避けるには、そのPCでのUSB使用禁止、データ作成 はそのPCで完結するしかありません。 会社などではUSB使用禁止がほとんどですが、PTAでそれを望めない のならPCの利用を白紙に戻す決意が必要かも知れません。 質問の趣旨からだんだん外れるかも知れませんが、これが現実です。
お礼
ガリ版は避けたいですが・・・ ウィルス被害の拡大も避けたいです。 今回の回答を皆で検討したいと思います。 ご親切に教えてくださってありがとうございました。
- ta87654321
- ベストアンサー率28% (2/7)
ご回答ありがとうございます。 資料作成というのにネットは有効ではないでしょうか? Wikipediaをはじめ、ネット上には様々な資料があります。 他校の資料を参考にすることもできます。 説得できないようであれば、例えば教師どうしが連絡に使用するであろう 携帯、PHSを使用してパターンファイルのアップデートをさせてもらう ことはできないでしょうか。 それが無理でもESETをぜひご検討下さい。 パターンファイルがなくても検出率が高いのはこの製品です。
- ta87654321
- ベストアンサー率28% (2/7)
パターンファイルに無関係でとなるとESET Smart Securityが いいと思います。 これはパターンファイル以外の方法でウィルスを検出する効果が高い ウィルス対策ソフトです。 ただ限界はあります。 定期的に携帯などを使ってパターンファイルのダウンロードをしましょう。 WindowsUpdateもしましょう。 或いはウィルスが比較的少ないMacやLinuxに切り替えた方がいいです。 なぜインターネット接続ができないのか教えてもらえないと これ以上アドバイスはできませんよ。
お礼
ESET Smart Security検討してみたいと思います。 USBを使用不可にするのは厳しいかも・・・ ですが、かなり危険な状態なんですね・・・ とても助かりました、教えてくださってありがとうございました。
補足
なぜインターネット接続ができないのか・・・ 学校の一室を借りてPTA役員が資料作成などにPCを使っています。 PCはPTAのものです。PTAは予算があまりないのでなるべくお金がかからないことが望ましいです。 この場合、ネット接続をするのに最良の方法はなんでしょう? 資料作成等でネット環境は一切必要ありません。 Windowのアップデートくらいはしたいとは思いますが・・・ PCはDELLを購入したばかりです(多分2年ほど前で私は役員ではありませんでした)
初めにお断りしますが、ウィルス定義データの更新はネットからダウンロード するのが普通です。ネット接続環境のないPCへは、ネット接続環境のあるPC から持ってくるしか方法はありません。 以前、このサイトで全く同様の質問を見かけたことがあります。 回答については、はっきり覚えていません。<m(__)m> その時に私が思ったのは、ネット接続を前提のPC(Windows95以降)を スタンドアローンで使用することは想定外の話で、どだい無理な話…………… 仮に、そのPCにウィルス定義データの更新が出来たとして、Windowsの脆弱性 をカバーする為のアップデートはどうするのでしょうか? これが出来て初めてウィルス対策も万全になるのですが……… この現実を容認できないのであれば、以下、スルーして下さい。 ------------------------------------------------------------------------ そこで私が思うのは、まず、そのPCを何とかネットに接続する方法を考えた 方が近道ではないのか? 例えば、そのPCの管理を学校役員の輪番制にして、Windowsのアップデートと ウィルス定義データの更新を行なう。 ※PCはノートで、学校役員にネット環境があるという前提が必要 あと、もうひとつはレンタルサーバーを利用できないか? ※オンラインストレージサービスでも可能かも知れません 不特定多数がUSBでデータの出し入れをするということは、それぞれの役員 がPCを所有しているということでしょうか? ならば、レンタルサーバーにネット経由でデータを出し入れすれば可能になる のでは無いでしょうか?
補足
そうなんですよね・・・ Windowsのアップデートができないわけですから、 ウィルス対策だけを考えても仕方ないですよね。 PCは学校に置いてあるデスクトップなんです・・・ ネット接続は無理なんです。
- John_Papa
- ベストアンサー率61% (1186/1936)
私の友人が一昨年出くわしたのは、まさにこの相談ケースのパソコンでした。 ネットに繋がっていない学校のPCで使う、何かのデータベースプログラムを依頼されUSBメモリーで納品し、帰社して自社のPCにそのUSBメモリーを挿したとたんセキュリティソフトが大活躍だったそうです。USBウイルスが話題になることが少なかった時代でしたね。その後はUSBメモリーにはautorun.infというディレクトリを予め作っているそうです。 少なくとも、一度だけ次の事をやっておきましょう。(JVNで推奨している方法です http://jvndb.jvn.jp/apis/myjvn/cccheckhelp.html) ウイルスの感染を阻止するものではありませんが、通常使用ではUSBウイルスに感染しない程度にはなります。(これで感染させるには人手によってウイルスを起動させる行為が必要です) (1)USBメモリ自動実行に関するパッチ(KB971029)を http://support.microsoft.com/kb/971029/ja よりダウンロード (2)USBメモリ自動実行機能の無効化パッチ(KB967715) http://support.microsoft.com/kb/967715/ja をダウンロード (3)こちらのページ(無効化の設定方法)をプリントアウトしておく http://www.ipa.go.jp/security/txt/2009/05outline.html (4)2つのパッチをUSBメモリーに入れ該当PCにて実行 PCのOSにあわせて(3)の設定を手作業する。 結果としては、レジストリ次のエントリーを追加もしくは変更することになります。 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] にNoDriveTypeAutoRunという名前で16進数のFFを登録 これをやると、CDやDVDも自動起動しなくなりますが、ウイルスはCDやDVDを作成する時にも入り込みますので、自動駆動をやめた方が良いでしょう。変更した当初は不便に感じますがすぐ慣れてしまいます。 私もすっかり慣れてしまい、たまに他人のPCで自動起動するのを見るとギョッとしてしまいます。
補足
一読しただけではわからないのですが、後で調べてみます。 うちでも実際にトロイの木馬が出たものですから、USBとCD-ROMの自動再生をしない設定にしてはあるのですが・・・
- 4500rpm
- ベストアンサー率51% (3210/6284)
オンラインより少し遅くなるのと毎日更新するのが大変ですが、 他のネットにつながっているPCで下記サイトより ウイルス定義ファイルをUSBなどにダウンロードして、 該当のPCに入れるというのはどうでしょうか。 たとえばシマンテック http://www.symantec.com/ja/jp/business/security_response/definitions/download/detail.jsp?gid=n95
補足
年ごとにメンバーが変わるものですから、 PCに詳しくなかったり、家でネット接続をしていない場合も出てくるかもしれないんです・・・頭が痛いです
お礼
ご回答いただいた方法を役員で検討してみたいと思います。 とても助かり感謝しています。 いろいろと教えてくださってありがとうございました!