【 ここから本文 】
セキュリティ・マネジメント
ソーシャルブックマークに登録 :
印刷用ページの表示
【連載】
情報漏洩100%対策──あらゆるリスク、ケースを徹底検証
第2回 ネットワーク運用からのアプローチ(1)
「内部から外部への通信」におけるリスクと対策
(2006年03月09日)
本連載では、さまざまな観点から、企業における情報漏洩について考察を加える。前回、情報漏洩に対しては「ネットワーク運用」「記録媒体」「人」という3方向のアプローチごとに対策を講じる必要があると説明した。今回は、ネットワークからのアプローチを取り上げ、その中でも内部ネットワークから外部ネットワークであるインターネットへの通信を行う際に生じる情報漏洩のリスクと、その対策について解説する。
黒澤遠矢
チョーク・ポイントに目を光らせる
企業・組織のネットワークを利用する通信は大きく、内部の各ノードと外部とで直接やり取りされる通信、内部の中継サーバを介して外部とやり取りされる通信、ネットワーク内部間の通信の3パターンに分類される。そのうち外部と通信することになる先の2パターンでは、ほとんどがファイアウォールを通過するように設計されている(図1)。つまり、ファイアウォールは内部のネットワークと外部のネットワークの境界を規定する機器というわけだ。したがって、ファイアウォールは、ネットワーク間の情報漏洩への対策を講じるうえで、最も重要であると考えられる。
| 図1:企業・組織のネットワークにおける通信パターン |
 |
ファイアウォールでは、データの通り道を1本にして外部との接続ポイントを絞ることにより、ネットワークを集中管理できるようにしている。これは、「チョーク・ポイント」という概念である。チョーク・ポイントは冗長化と相反するが、セキュリティを重視するのであれば設けるべきだろう。
ファイアウォールの利用にあたっては、フィルタリング・ルールの設定がポイントとなる。ネットワーク・セキュリティの観点からすると、外部からの攻撃を防ぐことが最優先となるため、アウトゴーイング(内部から外部へ)の通信よりもインカミング(外部から内部へ)の通信の管理に重点が置かれがちだ。しかし、内部から外部への情報流出を考えると、アウトゴーイングも軽視できない。いずれにしろ、余計なポート番号からの通信は許可しないように、ルールを設定すればよい。
一般に外部への通信が許可されている可能性が高いプロトコルを表1にまとめた。業態にもよるが、SIerなどではメンテナンスなどのために、この表に掲載されていないプロトコルでの通信を許可しているところも多いだろう。その場合は、対向となるIPアドレスを洗い出したうえで、あくまでも特例として取り扱うようにされたい。もしくは、メンテナンス用のネットワークを業務用のネットワークから隔離し、独立させるようにするとよい。
| 表1:外部ネットワークとの通信が行われる主なプロトコル |
 |
なお、メール受信用プロトコルであるPOP3は、情報発信には利用されないせいか軽視されやすい。実際、POP3を詳細にコントロールできるファイアウォールは少なく、このポートは別の用途に使われてしまいがちである。だが、ポートが不正に利用される危険性を考えると、POP3は許可すべきではない。
表1で取り上げたプロトコルのうち、一般的なネットワークのファイアウォールでほぼ確実に許可されているのはSMTPとHTTP/HTTPSだと思われるので、以下、この2つのプロトコルについて解説を行う。
- 情報漏洩100%対策──あらゆるリスク、ケースを徹底検証
- 第1回 情報漏洩対策の根本を考える
-
第2回 ネットワーク運用からのアプローチ(1)
「内部から外部への通信」におけるリスクと対策 -
第3回 ネットワーク運用からのアプローチ(2)
「内部ネットワーク内の通信」におけるリスクと対策
- 第4回 情報が保存されるPC/記録媒体からのアプローチ
- 第5回 情報を利用する「人」からのアプローチ
- 第6回 インターネット掲示板を舞台とする情報漏洩、誹謗中傷への対処法
- 第7回 営業秘密の漏洩をいかにして防ぐか ―不正競争防止法と企業の管理体制―
