 |
 |
 |
 |
 |
 |
 |
|
※アイコンの説明
 |
サーバー |
 |
ネットワーク |
 |
クライアントPC |
 |
アプリケーション |
2.2 運用面での対策
2.2.1 インターネット利用におけるポリシーと運用ルールの策定
インターネットからの不正プログラムダウンロードを防止するには、ウイルス対策ソフトやコンテンツフィルタ、プロキシ認証を導入するといった技術的な対策のほかに、インターネット利用のセキュリティに対する利用者への意識付けが必要となる。
実際にインターネットを利用するのは、各クライアントPCの利用者である。いくら技術的な対策を厳重に施してあるとしても、利用者に不正プログラムやそのダウンロードについての危険性の意識が欠如していたり、セキュリティ保護の意識が徹底されていなかったりすると、技術的な対策を無効にしてしまうような操作や運用を不用意に行ってしまう可能性がある。また、ウイルスやスパイウェア、インターネット利用のセキュリティなどについての知識レベルは利用者によって異なるため、運用を個々の利用者任せにしていると、利用者によっては安易な基準で行動してしまうおそれがある。
そこで、企業は利用者にインターネット利用を許可するにあたって、その利用に関する統一的な運用ルールを、全社的な情報セキュリティポリシーに基づいて策定し、すべての利用者に周知徹底する必要がある。これにより、不用意な行動を具体的に規制するとともに、インターネット利用のセキュリティに対する利用者の意識を向上させることができる。
運用ルールでは、社外のWebサイトへのアクセスや、社外からのファイルのダウンロードに対する、たとえば以下に示すような項目を含むルールを記述し、従業員に徹底する。
実際にインターネットを利用するのは、各クライアントPCの利用者である。いくら技術的な対策を厳重に施してあるとしても、利用者に不正プログラムやそのダウンロードについての危険性の意識が欠如していたり、セキュリティ保護の意識が徹底されていなかったりすると、技術的な対策を無効にしてしまうような操作や運用を不用意に行ってしまう可能性がある。また、ウイルスやスパイウェア、インターネット利用のセキュリティなどについての知識レベルは利用者によって異なるため、運用を個々の利用者任せにしていると、利用者によっては安易な基準で行動してしまうおそれがある。
そこで、企業は利用者にインターネット利用を許可するにあたって、その利用に関する統一的な運用ルールを、全社的な情報セキュリティポリシーに基づいて策定し、すべての利用者に周知徹底する必要がある。これにより、不用意な行動を具体的に規制するとともに、インターネット利用のセキュリティに対する利用者の意識を向上させることができる。
運用ルールでは、社外のWebサイトへのアクセスや、社外からのファイルのダウンロードに対する、たとえば以下に示すような項目を含むルールを記述し、従業員に徹底する。
- 運用ルールで定めた方法以外でWebサイトへアクセスしない。
- 運用ルールで定めた方法以外でWebサイトへアクセスしない。
- 信頼できないWebサイトへアクセスしない。
- 運用ルールで定めた手続きによる許可を得ずにプログラムをダウンロードして実行しない。
ただし、信頼できるWebサイト、信頼できないWebサイトの判断を利用者に丸投げするのは危険である。そのため、利用者自身が閲覧しているWebサイトを安全かどうか判断できるよう教育することが必要になる。安全かどうかの判断基準の一例として次のようなものを挙げることができる。
- 会社の情報(例えば、会社概要や所在地、連絡先)が適切に記載されている。
- ドメイン名が独自のものであり、外部の無料ホームページを利用していない。
- 問い合わせ先のメールアドレスにフリーメールを使用していない。
こうした基準を含めて判断基準を策定し、情報セキュリティポリシーに記述するとともに利用者に周知し、教育するとよい。
業務に必要なフリーソフトをダウンロードする場合は、信頼できないサイトや見知らぬサイトからダウンロードするファイルはウイルスに感染しているおそれがあることを認識し、必ずウイルスチェックを実施することを心がけるべきである。こうしたことについても、ある程度具体的にルール化しておくほうが望ましい。
掲示板やWebメールの利用についても、次のような項目を含むルールを定めておく。
業務に必要なフリーソフトをダウンロードする場合は、信頼できないサイトや見知らぬサイトからダウンロードするファイルはウイルスに感染しているおそれがあることを認識し、必ずウイルスチェックを実施することを心がけるべきである。こうしたことについても、ある程度具体的にルール化しておくほうが望ましい。
掲示板やWebメールの利用についても、次のような項目を含むルールを定めておく。
- 業務外の電子掲示板への書き込みを行わない。
- 顧客情報や人事情報など企業の機密情報の書き込みを行わない。
- 誹謗中傷などの不適切な表現を含んだ電子メールの送信はしない。
- 他人や他社を侵害する行為を行わない。
さらに、インターネット利用に対する誓約書を作成し、従業員に同意を求めることも有効である。誓約書の内容には、上記の情報セキュリティポリシー記載事項の遵守を盛り込む。
2.2.2 クライアントPCに対するポリシーと運用ルールの策定
クライアントPCでのブラウザやアプリケーションのセキュリティ設定やセキュリティパッチの更新、クライアント型ウイルス対策ソフトの適切な運用についても、これらに関する統一的な運用ルールを、全社的な情報セキュリティポリシーに基づいて策定し、すべての利用者に周知徹底する必要がある。
運用ルールでは、たとえば以下に示すような項目を含むルールを記述する。
運用ルールでは、たとえば以下に示すような項目を含むルールを記述する。
- クライアントで最新のセキュリティパッチの適用を行う。
- Webブラウザで、信頼できないサイトからのモバイルコードの実行を無効にしたり、確実に信頼できるサイト以外からのモバイルコードには警告メッセージを表示するよう設定する。
- 最新のウイルスパターンファイルに更新しウイルス対策ソフトを使用する。
- ウイルス感染被害からの復旧のためデータのバックアップを行う。
- クライアントPCの動作が普段と違う場合は、ウイルスに感染している可能性があるため、ウイルスチェックを行う。
- 外部より入手したファイルは、使用する前に必ずウイルス対策ソフトを使ってウイルスチェックを行う。
- 個人所有のノートPCや外部媒体でのファイルの持ち込みを禁止する。
これらを全て利用者の自主的な運用に任せた場合、実際に実施されていなかった、ということが十分考えられる。利用者が多い場合は、全クライアントPCの状態を監視し、脆弱なクライアントPCはネットワークに接続させない、あるいはクライアントPCの脆弱性をサーバー側から修正するなど、クライアントPCの統合管理が重要となってくる。
ある企業の例では、全てのクライアントPCにクライアントPCの内部監視ソフトを導入し、サーバー側から@Windowsのパッチがあてられているか、AMS-Officeのパッチがあてられているか、BPC用のファイアウォールが導入されているか、Cウイルス対策ソフトが導入されているか、Dウイルスパターンが最新になっているか、E社内用のアプリケーションが最新のものになっているか、FWinnyやSkypeを導入していないか、などを毎日自動監視している。もしも、違反が見つかると、そのPCの使用者の上司に通知が行くと共に、ネットワークへ接続できないようになっている。また、USBメモリーなどをクライアントPCに挿入するとシステム管理者に警報が届くようにしている。
ある企業の例では、全てのクライアントPCにクライアントPCの内部監視ソフトを導入し、サーバー側から@Windowsのパッチがあてられているか、AMS-Officeのパッチがあてられているか、BPC用のファイアウォールが導入されているか、Cウイルス対策ソフトが導入されているか、Dウイルスパターンが最新になっているか、E社内用のアプリケーションが最新のものになっているか、FWinnyやSkypeを導入していないか、などを毎日自動監視している。もしも、違反が見つかると、そのPCの使用者の上司に通知が行くと共に、ネットワークへ接続できないようになっている。また、USBメモリーなどをクライアントPCに挿入するとシステム管理者に警報が届くようにしている。
2.2.3 ファイアウォールの管理
社内ネットワークをインターネットに接続する場合は、社内ネットワークとインターネットの境界にファイアウォールを導入することは必須である。
社内ネットワークをインターネットに接続すると、内部のクライアントPCが、インターネット上のクラッカーに不正アクセスされる危険がある。そのため、ファイアウォールを設置して、インターネットから社内ネットワークへの侵入を防ぐ。
ファイアウォールは通過するパケットを監視し、インターネットなど外部から内部への不正なパケットの侵入を遮断する。また、内部から外部に出ていくパケットも監視し、社内ネットワーク上のパソコンからインターネットへの不正なパケットの流出を遮断する。
インターネット利用においても、ファイアウォールはセキュリティを守るために重要な役割を担う。アクセスした外部のサイトから送られてくるアプリケーション・データのパケットに不正プログラムが含まれていれば、内部への通過を遮断する。また、なんらかの理由で社内ネットワークのパソコンに侵入してしまったウイルスが、インターネット上の他のクライアントPCに攻撃を仕掛けるために送り出そうとするパケットを遮断したり、不用意にダウンロードしてしまったスパイウェアが外部に情報を送り出そうとするパケットを遮断したりする。
ファイアウォールは、インターネットと社内ネットワークの間でやり取りされるパケットを監視し、決められたルールに反するパケットを通さないようにする。これにより、許可されていない情報を含むパケットの社内への侵入や社外への流出を防ぐことができる。
導入にあたっては次のようなファイアウォールを選択することが必要である。
社内ネットワークをインターネットに接続すると、内部のクライアントPCが、インターネット上のクラッカーに不正アクセスされる危険がある。そのため、ファイアウォールを設置して、インターネットから社内ネットワークへの侵入を防ぐ。
ファイアウォールは通過するパケットを監視し、インターネットなど外部から内部への不正なパケットの侵入を遮断する。また、内部から外部に出ていくパケットも監視し、社内ネットワーク上のパソコンからインターネットへの不正なパケットの流出を遮断する。
インターネット利用においても、ファイアウォールはセキュリティを守るために重要な役割を担う。アクセスした外部のサイトから送られてくるアプリケーション・データのパケットに不正プログラムが含まれていれば、内部への通過を遮断する。また、なんらかの理由で社内ネットワークのパソコンに侵入してしまったウイルスが、インターネット上の他のクライアントPCに攻撃を仕掛けるために送り出そうとするパケットを遮断したり、不用意にダウンロードしてしまったスパイウェアが外部に情報を送り出そうとするパケットを遮断したりする。
ファイアウォールは、インターネットと社内ネットワークの間でやり取りされるパケットを監視し、決められたルールに反するパケットを通さないようにする。これにより、許可されていない情報を含むパケットの社内への侵入や社外への流出を防ぐことができる。
導入にあたっては次のようなファイアウォールを選択することが必要である。
(1) 柔軟かつ強固なアクセス制御を行えること
ファイアウォールの一番重要な機能はアクセス制御機能である。特定のサービスへのアクセスを確実に制御できなければ十分なセキュリティは確保できない。ただし、あまりにも強固なアクセス制御を行うと、必要なサービス(例えば、社員にとって業務で必要なインターネットへの接続サービス)を利用できなくなるといった弊害が起こる可能性がある。
これを避けるためにも、安全性の維持と業務に必要なアプリケーション利用を両立させる必要がある。このためには、ファイアウォールで柔軟なアクセス制御を行えることが重要である。
(2) 豊富なログを取得できること
「不正アクセス行為の禁止等に関する法律」の施行により、不正アクセスに対して法的な手段を取ることも可能となっている。このため、不正アクセスに遭った場合に備えてどのような不正アクセスがあったのかを把握するためにも詳細な記録(ログ)を残すことが重要である。
(3) 管理、運用が容易であること
機器の障害などでファイアウォールが停止してしまうと、電子メールやWebが利用できなくなり業務に影響を与えてしまうため、ファイアウォールを複数台用意して冗長構成をとる必要がある。冗長構成をとった場合は、複数のファイアウォールを効率的に管理し、ルールの整合性を取らなければならない。そのため、集中管理機能が必要である。また、ファイアウォール製品も他の製品と同様に、パッチなどが提供されることがある。それらにすばやく対応できる運用を行う。
(4) 広帯域ネットワークに対応していること
インターネットへの接続速度はますます高速化しており、今後より安い価格で、より高速に接続できるようになる。このため、高速なネットワーク接続の環境にも対応している(あるいは、製品の拡張により対応可能な)ファイアウォールを選択することが重要である。
(5) 拡張性が高いこと
ファイアウォールの導入にあたっては、現時点のシステムやネットワーク環境のセキュリティポリシーに沿った形で構築することはもちろん、将来的に考えられるネットワークの変化やネットワークの拡張(VPN、二重化、帯域制御など)についても考慮する必要がある。ネットワークの変化に応じて拡張しやすい製品や、拡張した機能を効率よく統合管理できるような製品を選択し導入することが望ましい。
ファイアウォールを運用する上で最も重要なのが、ファイアウォールのルールの設定である。ファイアウォールのルール設定に不備があれば、いくら性能の優れたファイアウォールを使用しても、無意味になってしまう。
たとえば、インターネットから社内ネットワークへの通信はすべて拒否し、社内ネットワークからインターネット上へのアクセスはWebサーバーへのアクセスとメールの送受信だけは許可するというルールが考えられる。
ファイアウォールを導入した後は、ファイアウォールの動作状況や不正アクセスの有無を知るために、定期的にログを確認する必要がある。定期的にファイアウォールのログ解析を行うことにより、アクセス制御のルールの設定ミスによるセキュリティホールの発生を防止することができる。また、通信量の増加によるファイアウォールの機能低下を事前に検知することで、ファイアウォールの障害発生を未然に防ぐことができる。さらに不正アクセスが行われた後は、ログが改ざんされている危険性がある。このような場合に対処するため、ログ解析の結果を毎回同じフォーマットで出力するようにして、異常を発見しやすくしておくとよい。
ファイアウォールを運用する上で最も重要なのが、ファイアウォールのルールの設定である。ファイアウォールのルール設定に不備があれば、いくら性能の優れたファイアウォールを使用しても、無意味になってしまう。
たとえば、インターネットから社内ネットワークへの通信はすべて拒否し、社内ネットワークからインターネット上へのアクセスはWebサーバーへのアクセスとメールの送受信だけは許可するというルールが考えられる。
ファイアウォールを導入した後は、ファイアウォールの動作状況や不正アクセスの有無を知るために、定期的にログを確認する必要がある。定期的にファイアウォールのログ解析を行うことにより、アクセス制御のルールの設定ミスによるセキュリティホールの発生を防止することができる。また、通信量の増加によるファイアウォールの機能低下を事前に検知することで、ファイアウォールの障害発生を未然に防ぐことができる。さらに不正アクセスが行われた後は、ログが改ざんされている危険性がある。このような場合に対処するため、ログ解析の結果を毎回同じフォーマットで出力するようにして、異常を発見しやすくしておくとよい。
Copyright © 2007 Information-technology Promotion Agency, Japan. All rights reserved.