推奨される取り組み

18 通信ネットワーク保護策

設問

通信ネットワークを流れるデータや、公開サーバ上のデータに対して、暗号化などの適切な保護策を実施していますか。

(適切な保護策には、VPNの使用や重要な情報のSSLなどによる暗号化があります。)

説明

適切な保護策には、VPNの使用や重要な情報のSSLなどによる暗号化があります。また、重要な情報を電子メールでやりとりする場合には、情報を暗号化しておくことも効果的です。

対策のポイント

1.外部のネットワークから内部のネットワークや情報システムへアクセスする場合に、VPNなどを用いて暗号化した通信路を使用しているか
2.Webにアクセスする際、必要に応じ、SSLなどを用いて通信データを暗号化しているか
3.電子メールをやり取りする場合に、重要な情報を暗号化しているか

解説

ネットワークについても、その他の情報資産と同様にどのようなデータが流れるのか、セキュリティ対策はどうなっているのかといったことを調査し、重要度を決定する必要があります。重要なネットワークには優先的に適切な保護対策を実施しなければいけません。ネットワークは一見、あらゆるシステムと接続しているように見えますが、実はセグメントという考え方で部分的に分離することが可能です。重要な情報資産が接続されているネットワークについては、一般のネットワークとは別のセグメントに隔離し、認証によるアクセス制御を実施してください。アクセス制御のポリシーは、ファイルサーバのフォルダ管理と同様に、誰がアクセスして良いのか、どのような操作をして良いのか(ネットワークサービスの制限)ということを前提として検討する必要があります。

インターネットだけではなく、内部のネットワークにおいても重要な通信は暗号化して行わなければなりません。たとえば、各部門の経理担当者が経理サーバにアクセスする場合、担当者から経理サーバまでのネットワーク経路が他の部門をまたぐことになります。このような場合、多くの従業員に対して経路の途中で情報を傍受する機会を与えることになります。こうした環境では、たとえ内部ネットワークであってもVPNを導入して経路を暗号化する、スイッチングハブなどを利用して部門ごとにネットワークを分離するなどの対策が必要になります。特に、無線LANを使用している場合には、建物の外からでも傍受できることがあるため、必ず暗号化通信の設定をしてください。
また、内部の情報システムでウェブアプリケーションを利用している場合には、アプリケーション層でのセキュリティも考慮しなければなりません。ウェブではSSLなどの暗号化プロトコルを導入することで、サーバとクライアントの間を暗号化することができます。これで通信経路上のデータは保護することができますが、情報システムに保存されたデータ、画面に表示されたデータ、プリントアウトされたデータなどは暗号化されているわけではないので、トータルセキュリティという観点ではこれらのデータの保護対策についても検討するのを忘れないでください。

なお、インターネットを利用した本支店間の通信や、出張先・外出先からのインターネットを利用した自社システムへのアクセスなどにおいては、VPNを導入して経路を暗号化するなどの対策が必要になります。出張先のホテルなどから内部ネットワークにアクセスする場合、VPN によって経路全体を暗号化しないと、情報がホテル内のネットワークに漏えいするおそれもあります。外部からアクセスしてメールや組織内ポータルを閲覧する場合には、たとえばVPNによってセキュリティ環境が整った状態でのみ利用するというルールを作り、これを従業員に周知徹底させることが望まれます。

また、重要なメールのやりとりについては、添付書類を暗号化したり、メッセージそのものを暗号化したりすることも必要になります。多くの圧縮ソフトウェアでは、ファイルの暗号化機能もサポートしていますので、それらを活用するなど、利用環境にあわせて暗号化ツールを選択してください。