推奨される取り組み

22 ネットワークのアクセス制御

設問

ネットワークのアクセス制御を適切に実施していますか。

(適切なネットワークのアクセス制御には、たとえばネットワークの分割や外部からの接続時の認証などがあります。)

説明

ネットワークへの接続に伴って、接続したネットワーク経由で侵入されるといったリスクが増大します。そのようなリスクを低減するためには、ネットワークへの適切なアクセス制御が不可欠です。ネットワークのアクセス制御には、たとえばネットワークの分割や外部からの接続時の認証などがあります。

対策のポイント

1.外部のネットワークから内部のシステムへアクセスする際(モバイルPCを使用する場合を含む)に、利用者認証を実施しているか
2.サービスや情報システムにアクセス可能な利用者を制限するために、ネットワークを論理的に切り離したり、接続を制限したりしているか
3.許可されていないワイヤレスアクセスポイントの設置を禁止しているか
4.外部の無線LANを利用してネットワークにアクセスする場合に、セキュリティ対策を実施しているか
5.内部のネットワークに接続する端末機器について、接続時に認証しているか

解説

外部から内部のシステムへのアクセスを許す場合、利用者認証を実施して正当な利用者であることを確認する必要があります。認証の記録を残し、許可されていない行為(持ち出し禁止のファイルのコピーなど)が行われていないかどうかを利用者ごとに確認します。

また、ハードウェアベンダのリモートメンテナンスや業務提携先との情報交換など、外部の組織と何らかの形でネットワークの接続を行う際には、必要とされる機器や情報にのみアクセスができるよう、アクセス制御が必要です。ネットワークのアクセス制御には、パケットレベル、セッションレベル、アプリケーションレベルなどいくつかのレイヤーがありますが、どの方式にするかはリスク分析を行い、また費用などを勘案して決定します。

保護すべき重要なデータが入っているシステムは、それ以外のシステムが接続しているネットワークから物理的に切り離し、特定の端末あるいはネットワークセグメントからのみ操作できるようにするのが最善の策です。しかし、作業効率の面などを考慮して、便宜上、その他のシステムもつながっているネットワークに接続しなければならない場合もあります。このような場合には、物理的に切り離したのと同等のセキュリティが確保されるように、重要システムとネットワークとの間にファイアウォールを設置し、特定の端末あるいはネットワークセグメントからのみアクセスできるようにする(論理的に隔離する)ことが必要です。

ワイヤレスアクセスポイントを許可なく設置すると、建物の外など、予期しない場所からのアクセスが可能になることがあります。ワイヤレスアクセスポイントは、個別の部署が設置するのではなく、情報セキュリティ担当部署や組織内システムの管理部署の担当者など、セキュリティ上の設定に詳しい者が、正当な許可を得て設置する必要があります。

外部の公衆無線LANサービスでは、アクセスしているPCが相互に通信可能となり、互いに共有ファイルなどが参照できる状態になることがあります。これによって、機密データなどの重要データが、第三者によって参照されてしまう場合があります。また、パーソナルファイアウォールなどのセキュリティ対策が実施されていない場合には、ウイルスなどが容易に侵入する可能性があります。外部でネットワークに接続する場合には、PC自体にセキュリティ対策を施しておく必要があります。

ウイルスの侵入や許可されていないデータの参照などが行われないようにするために、許可されていないPCが組織内ネットワークに接続されることを防ぐ必要があります。接続するPCを限定するためには、ネットワーク接続時にPCの認証を行うことが必要になります。