HOME情報セキュリティ資料・報告書・出版物調査・研究報告書情報セキュリティ技術動向調査(2008 年上期)

本文を印刷する

情報セキュリティ

情報セキュリティ技術動向調査(2008 年上期)

2 イントラネットセキュリティをめぐる技術動向

太田 耕平

1 イントラネットセキュリティが重視されるようになった背景

  ネットワークの防御は、外からの攻撃が基本的な脅威と考えられてきた。しかし、ウイルス感染や、情報漏えい事故の多発などにより、外からの攻撃よりも内部での管理の欠如がより重大な脅威であるという認識が広まってきた。特に国内では個人情報保護法の施行以降、セキュリティ問題が身近なリスクであることの認識が広まり、イントラネットセキュリティへの意識が大幅に高まっている。
  また、上記を踏まえて、法令、各種認証、セキュリティガイドラインでも内部の情報システムの管理体制を整備することが求められている。ISMS として知られるISO/IEC17799 認証や、個人情報保護の観点からJIS Q 15001 個人情報保護マネジメントシステム―要求事項への適合性を認定するプライバシーマーク制度は、マネジメントシステムの一部として内部ネットワーク管理の実施を既定しており、組織のガバナンスおよびコンプライアンスといった視点からもイントラネットの管理、セキュリティ体制の整備が急務となっている。

2 外部ネットワークから内部ネットワークへ- 何がネットワークに接続され、誰が、どのような利用をしているのか?

  従来のセキュリティの考え方は、図1 に示すように、インターネットとの接続点での制御によってイントラネットを防御するという考え方であったが、これはセキュリティ上の脅威は外部にあり、内部に脅威はないモデルである。しかし現在は情報漏えいなどの現実的な脅威は内部にあることが知られており、イントラネットに対する接続にこそ精密な接続管理が必要となっている。

図 1: イントラネットセキュリティの重要性

  イントラネットに接続される機器の中でもっとも多いのがユーザの利用する端末である。これらの端末は、持ち出し利用を含めて、外部を含め様々なサービスおよびネットワークに接続されるため、脅威にさらされる可能性が高いことから、最も大きなリスク要素となっている。しかし、端末接続の管理の重要性は十分に理解されているとはいえない。
   図 2にイントラネットで管理されるべき接続管理サイクルを示す。端末はネットワークへの接続、利用、離脱のサイクルを繰り返すが、離脱から接続までの間は接続されるネットワーク側からみればまったくの管理外であり、不正や事故などを含めリスクを管理することができない。そのため「検疫」の概念が登場し「接続」時の条件をより詳細に管理することが求められつつある。しかし、それでもサイクルのうち、ネットワークへの入り口にあたる部分の管理が始まったにすぎず、いったん接続が許可された後は十分な管理が行えるとはいえない。本稿では、イントラネットでの端末接続およびネットワーク利用管理の現状と危険性、および今後の動向を述べる。

図 2: 接続管理サイクル

2.1.  ネットワーク接続からネットワーク接続制御へ

  「接続管理」は、ネットワーク管理の基本であるが、現時点で万人が使える端末レベルの決定的なソリューションは存在しない。したがって各種のベンダーによって様々な方式が提供されている状況である。無線接続の普及などによって、接続されている端末が動的に変化することが一般的に なっているため、接続管理にはリアルタイム性が要求されているが、現状では802.1X などの認証プロトコルなどを利用していない場合は、個別の接続を管理する一般的な方法はなく、接続管理は容易ではない。
  また、その制御性にはさらに問題がある。接続にはDHCP をはじめ標準化されたプロトコルが広く普及しているが、特定のネットワーク接続を強制的に「遮断」あるいは「隔離」する手段は従来のTCP/IP の中で提供されていない。また認証機能のある 802.1X 接続や、VPN 接続でさえも、いったん正規の手続きで接続されてしまえば、それを制御することはできず、管理サイクルの他の局面では十分な制御性がない。
  したがって、接続管理の現状は、接続そのものの受け入れ態勢については不十分ながらも多くの技術があり、なんらかの対策を講じることができるが、「遮断」あるいは「隔離」を実現する一般的なの仕組みは整備されておらず、最初に問題がなかった場合は、その後も問題がない、という楽天的なもので、接続の手続きだけではなく接続後の管理と制御が重要な課題となっている。
しかし、特に強制排除を含めた接続制御には課題が多く、下記の要件を備える必要がある。

2.1.1.  レイヤー2 プロトコルによる強制的制御

  現時点で、基本的にIP ネットワーク全般に適用可能であり、OS、端末種別等に依存せず、かつ端末を個別に、また任意に遮断できる技術として、レイヤー2 でのアドレス解決を妨害する手段が知られている。
  この方式は、IP 通信の前提となるアドレス解決(ARP の動作)を阻止するため、既存のIP 接続すべてに適用できる他、任意のタイミングでこれを実施し、通信を遮断することができる強力な手法である。この方式を利用してネットワーク接続を制御する製品も複数登場しており、現時点で特別な設備の更新を必要としない現実的な技術であるといえる。
  しかし一方で、正規の通信プロトコルとして認められた方法ではないため、遮断する端末数が極端に増加した場合にはネットワークへの負荷にもなりえる。

2.1.2.  認証接続とスイッチポートの制御

  「認証スイッチ」は、ポート制御と認証が連動するソリューションであり、認証結果と連動してスイッチのポートを制御することで接続を制御することができるスイッチである。非常に強力であるが対応するスイッチ、対応するクライアント、RADIUS などの認証インフラ等が必要となることから、大規模ネットワークで導入するには慎重な設計と投資が必要となるため、現時点での普及は限定的である。
  また、要件2 を満たすために運用上の注意が必要となるが、現実的で確実な制御として、スイッチポート単独での制御が挙げられる。これは認証スイッチの認証部分を簡略化し、制御の部分のみを利用するものであるが、認証機能に対応したスイッチとは異なり、すでに広く普及したインテリジェントスイッチに標準的に備えられた機能のみで実現でき、端末側に特別な機能を要求しないため、既存の端末を含めて、すぐに利用できる技術である。 利用にはSNMP に対応したスイッチで、以下のMIB がサポートされている必要があるが、これらのMIB は、それぞれ1992、1993、2000 年にRFC が発行されており、十分普及していることから、幅広いベンダーの製品でサポートされているため、現時点で利用できる現実的な技術である。

  1. RFC1213-MIB
  2. BRIDGE-MIB (RFC 1493)
  3. IF-MIB (RFC 2863)

  接続管理の重要性は技術的にも認知されており、IETF において標準化が進められているため、将来的には、標準化された制御方法が利用される方向に進んでいるが、普及には今しばらく時間を要する。

2.2.  端末接続制御からネットワーク制御へ

  検疫システムに代表される既存の接続管理技術の多くは、接続時に一定の条件を満たしていることを保障するものであり、安全性を担保するものではない。言い換えれば既知の主要な脅威に対して一定の予防対策をとっていることを確認するものであり、未知のウイルスへの感染、好ましくないサイトの利用、さらには意図的な不正などの現実に問題となる多くの脅威は接続時の検査で明らかにすることはできない。

  これらの利用上の脅威に対応するのは、運用管理技術であり、不正なアプリケーション利用、禁止サイトへのアクセスを監視、制御することが求められている。端末接続制御とネットワーク管理が連携することによって、様々な脅威に対してその発信元の特定と当該端末の強制遮断や隔離を実現することができる。

  ネットワーク管理は古くからある概念であり、その重要性は総論的には認められているが、企業利益に対する貢献度合いが見えにくいことなどから体系だった運用がなされておらず、運用現場のツールという位置づけにとどまっていた。しかし、今日では、上述のように端末接続制御と連携することによって、図1 に示す接続管理サイクルの中で重要な役割を果たすことが期待されている。

  図 3 に接続管理と連携したネットワーク管理システムの概要を示す。トラフィック監視などによって不正を検知するのみならず、リアルタイムに管理された端末接続管理によって、当該端末を特定し、さらには必要に応じて強制遮断などの実効的なアクションを伴った運用管理を実現することが可能であり、接続管理サイクル全般にわたる管理を実現することができる。

図 3 接続管理と連携したネットワーク管理

2.3.  セキュアなネットワーク管理プロトコルSNMPv3 へ

  ここまで見てきたように、イントラネットのセキュリティ確保にはこれまで以上に「ネットワーク管理」の考え方が重要になる。インターネット標準管理プロトコルとしてはSNMP がその地位を確立しており、多くの機器、OS で実装され、広く普及している。しかし、そのセキュリティは、バージョン3によって、セキュリティ機能が導入されるまで、長らくの間脆弱なものであった。
  SNMPv3 は従来からあるSNMPv1 およびv2c のUDP によるシンプルなプロトコルという運用形態を維持しつつ暗号化、認証、アクセス制御の機能を実現している。またリプレイ攻撃に備えた遠隔鍵更新の機能を備えるなど巧妙な技術となっている。SNMPv3 は2002 年にRFC が発行されているように標準化は完了しているが、設定の複雑さと、それ 以前のSNMPv1 およびv2c が広く普及し、成功したものであるがゆえに、依然として導入が進んでいなかった。
  ネットワーク管理情報は、機器のアドレス、ネットワーク構成、サービス構成など多くの重要な情報を含んだものであり、慎重に保護されるべき情報となっている。しかし多くのネットワークでは十分に保護されたものではないため、内部ネットワークに接続しさえすれば比較的容易にそれらの管理情報にアクセスすることができる。図1 に示した接続管理の考え方のように、内部であっても適切なアクセス制御が必要であり、ネットワーク管理にもさらに一歩進んだセキュリティ対策が必要となっている。
  近年では、上記のようなリスクの認識が進むとともに、多くのネットワーク機器のSNMPv3 対応が進み、実用的な段階となっているので、今後は積極的に配備されるようになろう。

3 まとめと今後の見通し

  現時点で接続管理サイクルの中で最も注目され技術開発および標準化が進んでいるのは、検疫システムとして知られる接続認証の部分であるが、接続管理の必要性は急速に認知が進んでおり、実質的なセキュリティの観点からも早期の普及が期待されている。
一方で、ネットワーク管理システムは、大きな転換点を迎えているといえる。「接続管理」(特に、積極的な接続制御)との連動が進むことによって、従来の管理システムの役割の重要性が増しており、具体的なアクションを起こすことが可能な管理システムとしてイントラネット管理の重要な要素となることが期待されている。
  今後、接続管理は、本稿で述べたレイヤー2 でのアドレス解決を検知、阻止する管理方式、認証技術を背景とするネットワーク機器での接続管理方式、あるいは既存のスイッチの管理機能を利用する方式などによって導入が進み、ネットワーク管理は、既存の管理システムが他の多くのネットワーク要素と連携して積極的な役割を果たすことによって新たな重要性が認知されることが期待されている。
  イントラネットの管理は、「接続管理」と「運用管理」を統合して、積極的なネットワーク制御技術としての地位を確立しつつあり、今後は、障害対策、災害復旧などを含めた総合的なリスク管理システムへと進化することが予想される。

以上

目次へ
次へ