【連載】
情報漏洩100％対策──あらゆるリスク、ケースを徹底検証

第3回ネットワーク運用からのアプローチ（2）
「内部ネットワーク内の通信」におけるリスクと対策

（2006年03月16日）

ポイント2　ワイヤレスLANのアクセス・ポイントの管理

　最近、企業の内部ネットワークにおいてもワイヤレスLANの利用が増えているが、ワイヤレスLANもまた情報の漏洩が懸念されるポイントの1つである。

　ワイヤレスLANは、有線LANと異なり、ケーブルによる物理的な接続を必要としない。そのため、電波の届く範囲内でワイヤレスLAN対応の機器を用いれば、利用できるかどうかはともかく、ワイヤレスLANのインフラにアクセスすることは可能だ。つまり、ワイヤレスLANは、物理的に保護できないのである。また、ワイヤレスLANは登場当初、暗号化機能が弱く、セキュリティに難があるとされていた。

　だが、現在、ワイヤレスLAN向けの認証や暗号は、実装次第で、物理的な安全が前提となっている有線LANよりも強度を高めることが可能である。よって、ワイヤレスLANを導入するにあたっては、何よりも実装を重視すべきである。具体的には、暗号鍵がノードごとにユニークで、個人認証機能を含んだ実装を選ぶとよい。これらを満たすとなると、結果的に、それなりに高機能なアクセス・ポイントを選択することになるが、ワイヤレスLANを運用するためには避けられない投資だと割り切らなければならない。

　なお、上記のようにセキュアなアクセス・ポイントを導入したとしても、扱い方ひとつでリスクとなることがある。具体的なリスクとしては、設定ミスなどが考えられるが、最も憂慮すべきなのは、管理されていないアクセス・ポイントである。例えば、ユーザーが無断で私物のアクセス・ポイントをデスク上に設置してしまったとしよう。この場合、設置したアクセス・ポイントはコストの面からコンシューマー向け製品である可能性が高く機能が不十分なうえ、設定がその持ち主のスキルやモラルに依存することになるため、とても企業での利用には堪えられないだろう。仮に、そのアクセス・ポイントに公共のワイヤレス・スポットと同レベルの設定がなされたとすると、外部の見知らぬPCの接続を許すことになってしまう。こういう事態は絶対に避けなければならない（図3）。結論としては、企業でワイヤレスLANを導入するにあたっては、利用規則を策定して詳細な資産管理を行ったうえで、ウォー・ドライビング（注1）を定期的に実施し、“野良アクセス・ポイント”の発見に努める必要があると言える。

図3：管理外のアクセス・ポイントから内部ネットワークにもたらされる被害

注1：ウォー・ドライビングとは、ワイヤレスLAN機能搭載のPDAなどを用いてセキュリティ対策が不十分なアクセス・ポイントを探しながら移動すること。実際に街中をウォー・ドライビングしてみると、デフォルトの設定のままの無防備なアクセス・ポイントが発見されることが珍しくない

ポイント3　VLANを活用したアクセス制御

　インフラのセキュリティについて一応の対策を講じたら、次に視点をネットワークに移し、ネットワーク上でのアクセス制御を検討する。情報が漏洩する経路はさまざまであるため、不正侵入対策のように、外部ネットワークと内部ネットワークの境界にファイアウォールを設けて一手にブロックするという手は通用しない。そのため、情報漏洩対策においては、アクセス制御によって情報にアクセスできるユーザーを制限することが、基本的な防御策となる。

　内部ネットワークにおいて適切なアクセス制御を実現するうえで有効なのがVLANである。VLANとは、LAN上での物理的な接続形態を超えた仮想的なグループを設定し、セグメントを共有するというネットワークだ。

　まずは、VLANを目的やグループ別に分けることにより、ユーザーごとにアクセス可能なネットワークの範囲を規定することが可能になる。その際、どのグループにどのリソースへのアクセスを許可するのか、機材管理はだれがどのセグメントから行うのかなど、管理内容についてもできるかぎり詳細に定めておくとよい。

　また、セキュリティ対策を施していないLANでは、ノートPCをハブやスイッチに接続するだけでネットワーク・リソースにアクセスできてしまう。そこで、VLANにユーザー認証を付加することで、適切なユーザーのみがアクセス権限に従ってネットワークを利用できるようにする。これは認証VLANと呼ばれているもので、認証規格には、本来は有線LAN向けの規格ながらワイヤレスLANでの利用が先行している802.1Xが主に用いられている。

　認証VLANでは、ユーザーが利用したIPアドレスを記録して「パケットに名札を付ける」ことができるため、情報漏洩に対する抑止力が得られるとともに、事後対策としてのアカウンティング（注2）が実現される。現在のネットワークはIPアドレスと個人の結びつきが弱く、そこから生まれる匿名性が問題となることが多い。認証はその対策ともなる。最近は、認証VLANに対応したスイッチや、認証VLANと連係可能なVLAN対応のファイアウォール（注3）が提供され始めており、認証VLANの導入は十分に現実的だ。

　こうしたVLANの“関所”としての役割に目をつけたのが、検疫ネットワークである。検疫ネットワークでは、LANに接続してきたPCに対してウイルス／ワームやバックドアの有無などを監査し、安全性が確認されたPCにのみ接続を認める。そのため、ネットワークの利用に際して、ユーザーの手間は増えるが、利便性とセキュリティ強化はトレードオフの関係にあることを考えると、それもやむをえないだろう。

注2：アカウンティングとは、ユーザー／マシンの行動（どのリソースをどれだけ利用したか）を記録し、追跡可能にすること
注3：VLAN対応のファイアウォールとは、従来のように単一のネットワークだけでなく、多数のポリシー、管理を複数のVLAN間に独立して導入できるファイアウォールのこと。具体的には、仮想化機能を備え、多数のファイアウォールを集約したような構成をとる。また、多機能化も進んでおり、現在ではIDSやVPNの機能を搭載した製品も見られる

前のページへ < ｜1｜2｜3｜ > 次のページへ