不正接続の防止|セキュリティ|ブログ|Computerworld

読者の皆様

お待たせしました、楽しかった GW が明けてしまい、悲しみを背負っている蔵本です。

実は私は、ダーツが非常に好きで、今月末にパシフィコ横浜で行われる MJ トーナメントというダーツの大会に出るのですが、練習時間がなかなかとれないので、今月は睡眠時間を削りつつ夜中に練習しようと思っております。またこのパシフィコ横浜は、毎年、弊社の TechEd が開催される場所でして、いつもはスピーカーとして登壇しているのに今度はダーツプレイヤーとして立つという、、、非常に不思議な感覚です。

ちなみに本日の一枚は、「やばとん」さんのわらじ味噌カツです。私は名古屋で食べましたが、銀座にも支店ができていますので、この驚愕のサイズとクセになる味を是非ご賞味あれ。(回し者ではありませんw) もちろんご飯は大盛りで。

さてさて、それでは本日の話題である不正接続の防止についてお話します。
ここで言う「不正接続」は、社員の私物等、勝手に持ち込まれた PC が接続されてしまうケースを想定しています。

つまり、企業の情報システム部等、情報システム管理の主幹となる部署が把握していない、企業の資産ではない PC が接続されてしまうケースです。普段は私物なので、どんなソフトウェアがインストールされているかもわかりませんし、ウイルス対策ソフト等、最低限必要となるようなセキュリティ対策も実施されているかどうかわかりませんので、既に PC 内にウイルスが入ってしまっている可能性も十分考えられます。企業が決定しているセキュリティポリシーを遵守していない PC がつながってしまうのは、やはりまずいという事です。

それでは、どんな対策があるのか、下記にいくつかご紹介していきます。

【MACアドレスフィルタリング】
登録された MAC アドレスだった場合のみ通信を許可する方法です。良く見る実装としては、DHCP サーバーに MACアドレス一覧を登録しておき、それ以外のMACアドレスだった場合は、IPアドレスを発行しないという実装です。持ち込み PC の MACアドレスを、許可しているものに変更されてしまうリスクも考えられる上に、インフラの状況によっては、MACアドレスの管理が大変になるかと思います。ここでくじける方も非常に多くいらっしゃいます。インベントリ収集を行う資産管理ソフトとうまく連携させてやれば楽なのですが、そのようなインフラが整っていない状態でこの対策を実装しようとすると、結構しんどい目を見る羽目になります。また、ARP Poisoning を応用した専用機器もあり、攻撃手段をうまく防御に転換した例と言えます。

【802.1x】
証明書を利用した EAP-TLS 認証を行う事で、証明書を持っている端末だけが通信可能とする事ができます。特に企業の無線環境で多く使用されています。特に無線では、よく言われる通り、WEPは全くと言っていいほど役には立ちません。最近では WEP 解読からキーが割り出されるまで10分とかかりません。MAC アドレスフィルタリングも許可されている MAC アドレスが何かはすぐに分かってしまいますので、効果は薄いです。そこで、企業環境では802.1xの実装が注目されていますが、問題はコストです。対応機器への入れ替えやRADIUS の構築等、導入費用が結構かさみます。予算がある場合は、非常に良いソリューションだと思います。

【IPSEC】
Windows 環境でしか使用できませんが、IPSEC トランスペアレントモードでの通信が可能な端末とのみ通信を行う方法です。証明書を鍵として利用する事で、証明書を持っている端末のみが通信する事ができます。

【ネットワーク検疫】
ウイルス対策ソフトやパーソナルファイアウォール等、企業が決めた様々な条件をクリアしている PC だけが通信を行う方法です。条件を満たさない PC は検疫エリアへ隔離され、通常の業務で使用するネットワークへの通信はできないといった実装が多く見られます。弊社では、 NAP (Network Access Protection) がこれに当たります。実現方法としては、DHCP方式や802.1x方式、IPSEC方式等があります。ここでは深くお話しませんが、ご興味のある方は、Bing で検索してみてください。 Bing ですよ！

久々に復活の監査時に良くある一幕です。

監査側 筆者
「それでは、不正接続防止で実装している対策を教えてください。」

被監査側 リーダー 福原さん
「うちの管理規定であかんと書いてまっせ。」

監査側 筆者
「最近非常に問題となっているのは、規定で決まっているのに守られていないという、いわゆる規定の形骸化ですので、それは対策しているうちには入りませんねぇ。」

被監査側 サブリーダー 青木さん
「とりあえず決め取ったらええんやって言うてたじゃないですかぁー！」

実は、この規定の形骸化は、今回のお話に限らず、かなり多いです。最近では、ガバナンス範囲を自社だけでなく、子会社や関連会社まで広げようという動きが多くなってきているため、技術的な安全管理措置の重要性がますます重要視されており、規定だけの取り決めでは、破られるのが常です。Winnyを介した情報漏えいもそうですが、Winnyを動かしてもOKなんて規則の会社はないと思いますが、それを動かしてしまっているケースや、重要情報の持ち出しに関する文書管理規定を破る事でリスクが顕在化しています。皆様も十分にお気を付けくださいませ。

それでは、次回をお楽しみに！