ここでは、イントラネットを運用する上での脅威に対する技術的なセキュリティ対策を説明する（図表11）。ここに登場するセキュリティ対策は、リスクに応じて導入することが望ましい。

サーバーに保管されているファイルに対してアクセス権を付与することでアクセス制御を実現できる。不正アクセスは内部犯行の可能性もある。そのため社内情報の保護に重点を置く必要があり、アクセス権の設定は重要である。
  アクセス権を設定する場合は、個人や役職、部門などがアクセスしてもよいデータに対してのみアクセスを許可するよう設定する。これを「Need to Knowの原則」という。また、与えるアクセス権は必要最小限にする。これを「Least Privilege（最小特権）の原則」という。さらに、ファイルに対するアクセスだけでなく、ネットワークによるアクセス制御も含めて多層で防御することで、よりセキュリティを強化することができる。異なる方法を複数用いて防御する方法を、「Defense in Depth（多層防御）」という。例えば、社内において機密性が高い人事情報へのアクセスを多重防御する場合、サーバーへのアクセスを人事ネットワークセグメントからのものに限定し、ファイルへのアクセス権を人事部に限定し、さらにIDとパスワードで保護する、などがあげられる。これらの原則や方法に従い適切にアクセス制御を行うことで、権限を越えた利用や攻撃を防ぐことができる。

利用者にアクセス権を付与する場合には、役職別、部署別のグループに振り分けて、グループに対してアクセス権を与えることが運用上望ましい。全利用者個々にアクセス権を設定すると管理負担が大きくなるからである。また、アクセス権の設定を間違えると、本来禁止されている行為を許してしまう危険性があるため、アクセス権を設定する場合は慎重に行い、設定後検証することが重要である。

以下、WindowsおよびUNIXにおけるアクセス制御について簡単に説明する。

最近のWindows OSが持つファイルシステムNTFSでは、ファイルやフォルダだけでなく、システム内部にあるさまざまな「オブジェクト」に対して、「誰に対して」「どのような操作を許可もしくは拒否するか」というアクセス権限を複数定義することができる。このアクセス権限定義をアクセス制御エントリ（Access Control Entry, ACE）といい、これを集めたものがアクセス制御リスト（Access Control List, ACL）である。アクセスの種類には、「フルコントロール」「変更」「読み取りと実行」「読み取り」「書き込み」「特殊なアクセス許可」があり、先の原則に従い適切に設定することが重要である。全てのファイル個々に対してアクセス権限を設定することは現実的ではないため、あるフォルダに設定したアクセス権限が、そのフォルダ下に作成されたフォルダやファイルに対しアクセス権限を継承させることができる。

UNIXでは、ディレクトリあるいはファイルに対し所有者（User）と所有グループ（Group）が設定される。そして、当該ディレクトリあるいはファイルに対し、

• 所有者（User）の「読み出し・書き込み・実行」の権限
• 所有グループ（Group）の「読み出し・書き込み・実行」の権限
• 他人（Other）の「読み出し・書き込み・実行」の権限

を設定することができる。

IDS（Intrusion Detection System）とは、侵入検知システムとも呼ばれ、ホストや通信回線を監視し、不正侵入を検知した場合に管理者へ通知を行うシステムである。IDSは監視対象により、ネットワーク型とホスト型の2つに分類される。

ネットワーク型IDSは、IDSセンサを設置したセグメント上のすべての通信パケットを監視する。トラフィックがあらかじめ登録された攻撃パターンと一致した場合は、侵入行為とみなし、ネットワーク管理者に警告を行う。

ホスト型IDSは、インストールされたホストに対する不正アクセスを検知する。ホスト内のOS、サーバープログラムなどが生成したログやコマンド履歴などを解析したり、ホストへの通信の監視を行う。

ネットワーク型IDSとホスト型IDSの比較を図表12に示す。

IPS（Intrusion Prevention System）とは、侵入防御システムとも呼ばれる。IDSでは侵入を「検知」することしかできないが、IPSは侵入を「防御」することが可能である。つまり、IPSはIDSが持つ検知機能に加え、防御機能を強化したものである。IDSでは、不正アクセスや不正侵入を検知した場合、警告を管理者に送り、それをもとに管理者が対応を行ってきた。IPSは不正アクセスや不正侵入の通信を自動的に遮断することができるため、IDSと比較して運用負荷を軽減することが期待できる。

IDSおよびIPSにおいて、誤検知が少なからずとも発生する。正常な通信を不正な通信と認識してしまう誤検知のことを「False Positive」といい、不正な通信を正常な通信と認識してしまう誤検知のことを「False Negative」という。通常は、不正な通信を通してしまう「False Negative」の発生がセキュリティ上において問題となるが、IPSを利用している場合には、正常な通信が遮断されてしまう「False Positive」によりサービス提供を阻害してしまうことが問題となるため留意しておくことが必要である。

検疫ネットワークとは、社内ネットワークに接続しようとしたクライアントPCを、いったん社内ネットワークとは隔離されて存在する検査専用のネットワークに接続してクライアントPCの検査を行い、問題がないことを確認してから社内ネットワークへの接続を許可する仕組みをいう。検査項目としては、次のような項目があげられる。

• 正規の利用者か（利用者認証）
• セキュリティパッチが適用されているか
• ウイルスパターンは最新のものに更新されているか
• ディスクのウイルススキャンを実施しているか
• アプリケーションの設定は適切か

検査の結果、問題のあることが判明した場合は、対策を施さない限り社内ネットワークに接続することができない。このように、不用意に危険なクライアントPCが社内ネットワークに接続されることを未然に防ぐことができる。

クライアントPCの状態を検査する検疫方式では、専用のツールをクライアントPCにインストールする。クライアントPCが初めてネットワークに接続を試みると、専用のスイッチが検疫未実施を判断し、クライアントPCを検疫用のネットワークに接続する。クライアントPCの状態が専用ツールにより検疫サーバーに伝えられ、状態に問題がないと判断された場合は、認証サーバーがスイッチに対し社内ネットワークへの接続を許可する仕組みになっている（図表13）。
  この仕組みを用いた検疫ソリューションとしては、Cisco Systems社 のNetwork Admission Control（NAC）や、Windows Vistaが提供するNetwork Access Protection （NAP）がある。

LANに用いられる通信伝送技術としてIEEE802.3やイーサネット（Ethernet）が主流である。これを用いて通信を伝送する媒体としてLANケーブルがある。LANケーブルはツイストペアケーブル（Twisted pair cable、UTPケーブルとも呼ばれる）が主流であり、電線を2本対でより合わせることで、電子的な雑音（ノイズ）の混入を抑えている。LANケーブルは伝送規格に応じて様々にあるが（図表14）、今日では企業内で一般的に利用されるのはCAT（カテゴリー）5/5e/6である。

LANケーブルを「ハブ」と呼ばれる集線装置に繋ぐことで、多対多の接続が可能となる。ハブは大きく「リピータハブ」と「スイッチングハブ」に分かれる。
   リピータハブはOSI参照モデルの物理層を中継するものであり、電気的に接続されているため、接続したLANケーブルに全て等しい電気信号が流れる。リピータハブを利用すると、通信の盗聴が容易にできてしまうため、社内で利用する場合も極力使わないことが望ましい。
   スイッチングハブはOSI参照モデルのデータリンク層を中継するものであり、MACアドレスを理解する。リピータハブのように接続されている全てのLANケーブルに同じ電気信号を流すのではなく、LANポートに接続された機器宛の通信だけをそのLANポートから送信する。したがって、通信を盗聴される危険性が減り、また不要な通信も減るため、ネットワーク性能やセキュリティを向上することができる。

スイッチングハブを利用しても、物理的な攻撃には無力である。LANポートの不正利用を防止するために、会議室など普段使用しない場所においては、LANポートを床に埋め込み、使用時以外はLANポートをロックするなどして、不正な利用を防ぐ。また、長期間使用しないポートはハブの設定で無効にすることも有効な手段である。

クライアントPCへのウイルス感染を防ぐため、ウイルス対策ソフトを導入することが有効である。以下、ウイルス対策ソフトの基本的な動作に関する考慮事項について述べる。

ウイルス対策ソフトがウイルスをチェックするタイミングには、主に次の2つがある。

ウイルスに感染しているファイルが見つかった場合は、ウイルスを駆除あるいは隔離することで、クライアントPCやサーバーのセキュリティを保つことができる。ウイルス対策ソフトは、日々新しく生まれる様々なウイルスに対応するために、最新のパターンファイルをネットワーク経由で定期的に取得し更新することで、新種のウイルスにも対応することができる。

ウイルス対策ソフトでウイルスを検出する方法は主に次の2つがある。

図表16に、パターンマッチングとヒューリスティック・スキャンの比較を示す。

IPS（Intrusion Prevention System）とは、侵入防御システムとも呼ばれる。IDSでは侵入を「検知」することしかできないが、IPSは侵入を「防御」することが可能である。つまり、IPSはIDSが持つ検知機能に加え、防御機能を強化したものである。IDSでは、不正アクセスや不正侵入を検知した場合、警告を管理者に送り、それをもとに管理者が対応を行ってきた。IPSは不正アクセスや不正侵入の通信を自動的に遮断することができるため、IDSと比較して運用負荷を軽減することが期待できる。

IDSおよびIPSにおいて、誤検知が少なからずとも発生する。正常な通信を不正な通信と認識してしまう誤検知のことを「False Positive」といい、不正な通信を正常な通信と認識してしまう誤検知のことを「False Negative」という。通常は、不正な通信を通してしまう「False Negative」の発生がセキュリティ上において問題となるが、IPSを利用している場合には、正常な通信が遮断されてしまう「False Positive」によりサービス提供を阻害してしまうことが問題となるため留意しておくことが必要である。

モバイル端末だけでなく、社内のクライアントPCに対してパーソナルファイアウォールを導入することも、社内のウイルスやワームが蔓延した場合の事前対策として有効である。
パーソナルファイアウォールは、個々のモバイル端末に組み込むためのファイアウォールであり、導入されたモバイル端末だけを保護する。許可した通信だけを通し、禁止した通信を受信すると警告を出すこともできる。または、許可するアプリケーションを登録しておき、登録されたアプリケーションの通信だけが許可され、それ以外の通信を遮断することもできる。このようにしておくことで、モバイル端末に侵入した不正プログラムの通信を未然に防止することができる。

Windows XP SP2（サービスパック2）より、Windowsファイアウォールが提供されており、受信データのフィルタリングが実現できる。Windows Vistaが提供するWindowsファイアウォールは、受信データだけでなく、送信データに対するフィルタリングも実現できるため、ウイルスやスパイウェアによるデータ送信を防ぐことができる。
パーソナルファイアウォールのフィルタリングルールを利用者が勝手に設定することを防止するため、統合管理ツールに対応したパーソナルファイアウォール製品を導入することも必要に応じて検討することが望ましい。