【 ここから本文 】
セキュリティ・マネジメント
ソーシャルブックマークに登録 :
印刷用ページの表示
【連載】
情報漏洩100%対策──あらゆるリスク、ケースを徹底検証
第3回 ネットワーク運用からのアプローチ(2)
「内部ネットワーク内の通信」におけるリスクと対策
(2006年03月16日)
ポイント4 遠隔拠点間の通信の安全性
現在、企業・組織のネットワークが、1つの建物内、敷地内に収まっているケースは少ないだろう。日本全国どころか世界中に張り巡らされたネットワークも珍しくはない。その場合、離れた拠点間の通信は当然リモート・アクセス(注4)を介して行われることになるわけだが、リモート・アクセスにはさまざまな情報漏洩のリスクがある(図4)。それらのうち、経路に対するリスクには適切な経路を選択することで、また、リモート・アクセス装置やネットワークに対するリスクには適切なアクセス制御を施すことで対処可能である。以下、この2つのポイントについて説明しよう。
| 図4:遠隔拠点間のリモート・アクセスに対する脅威 |
 |
注4:リモート・アクセスという言葉はモバイル・アクセスを含むこともあるが、本稿では地理的に離れた場所を接続するネットワーク間のアクセスを指す
■適切な経路を選択する方法
企業でリモート・アクセスの経路を選択する場合、通信事業者によるサービス、自社で構築・運用するVPNのどちらかを選ぶことになろう。通信事業者によるサービスにはIP-VPN、広域Ethernetサービス、パケット交換網、専用線があり、また、自社運用の場合はインターネットを経路として通信の暗号化と仮想化を図るインターネットVPNを構築することになる。
この2つの経路はよく比較されることがあるが、それぞれ用途が違うため、本来、比較の対象とはならない。そこで、情報漏洩対策を踏まえてリモート・アクセスの経路を選択する際には、どのような点に考慮すればいいかを検討してみたい。
まず、通信事業者によるサービスは、情報の機密保持に対する信頼性の面ではほぼ問題がないと考えてよいだろう。それでも心配な場合は、さらに通信の暗号化を行えばよい。現在のVPN装置は出始めに比べて著しくスループットが向上しているので、冗長化やルーティングの問題が解決できるのであればVPN装置を導入してリモート・アクセス全体を暗号化するのは難しくない。ただし、建物の構造によっては「ラスト1マイル」(注5)が無防備なメタル回線で接続されることもあり、その場合はサービスの変更を検討する必要がある。
一方、自社運用のインターネットVPNには、「暗号化が行える」、「ブロードバンド接続の普及によってコストを抑えられる」というメリットがある。しかし、信頼性と可用性が低いため、情報漏洩対策としては不十分である。この通信経路の信頼性と可用性の低さをカバーするためには代替手段が必要となるが、それが結果的に、経路を増加させ情報漏洩のリスクを増やすことになる。VPNがダウンしている場合には、代替手段としてダイヤルアップ接続などネットワークの迂回経路、ファクス、電話が用いられることになるが、どれもきちんとセキュリティが確保されたネットワークに比べると安全性の面で劣る。情報漏洩対策には漏れが許されないため、代替手段にも同等の安全性が求められる。それが不可能な場合は代替手段の利用をやめるべきである。
注5:ラスト1マイルとは、通信事業者のサービス網に接続する場合に、通信
事業者の局舎から自分の施設までをつなぐ回線のこと
■適切なアクセス制御を施す方法
リモート・アクセスは、通信を行う拠点が地理的に離れているため、前述したような物理セキュリティを確保することが難しい。コスト上の問題により、ユーザーが100人の拠点と10人の拠点とで、同等の信頼性を確保することが困難になる場合もあろう。その際には、拠点の規模に応じた適切なアクセス制御を施すことによって、安全性の向上を目指すことになる。この種の業務はIT部門だけでは手に余ることが多いため、関連部署間で連携をとりながらトップダウンで進めていく必要がある。なお、やっかいなのがSOHOの取り扱いで、IT部門による全社的な管理が及びにくいため、次号以降で取り上げるクライアントPC側での対策や、SOHOユーザーのモラルに頼らざるをえない。
そのほか、グループ企業も含めた他の企業と協業する際にもリモート・アクセスが用いられるケースがある。この場合、相手のネットワークと信頼関係を結ぶのは難しいことがあり、また、アクセス制御を行っても十分に安全性を確保できない。そのため、交換するデータの形式を汎用性のないものにして悪用しづらくする、あるいは緩衝地帯になるようなネットワークを用意して双方が監査を行うなどの方法を採用し、直接のデータ交換は極力避けるようにしたい。
以上が、内部ネットワークにおける情報漏洩対策のポイントである。ネットワーク運用にまつわる対策についての解説が終わったところで、次回は、ネットワークの末端に位置する各装置の対策にフォーカスすることにしたい。この部分はよりユーザーに近いため、利便性との兼ね合いが難しく、その分だけネットワークよりも脆弱度が高いとも言える。
Caution! 注目の情報漏洩事件
名だたるIT企業、痛恨の情報漏洩
NTTデータは今年5月24日、同社社員1万1,835名分の個人情報が5月16日に紛失したことを発表した。原因は、同社社員が社員情報を格納したUSBメモリの入ったかばんを帰宅途中に紛失したためだという。なお、紛失した情報には、住所、電話番号、メール・アドレス、金融機関情報は含まれていなかったとのこと。
- 情報漏洩100%対策──あらゆるリスク、ケースを徹底検証
- 第1回 情報漏洩対策の根本を考える
-
第2回 ネットワーク運用からのアプローチ(1)
「内部から外部への通信」におけるリスクと対策 -
第3回 ネットワーク運用からのアプローチ(2)
「内部ネットワーク内の通信」におけるリスクと対策
- 第4回 情報が保存されるPC/記録媒体からのアプローチ
- 第5回 情報を利用する「人」からのアプローチ
- 第6回 インターネット掲示板を舞台とする情報漏洩、誹謗中傷への対処法
- 第7回 営業秘密の漏洩をいかにして防ぐか ―不正競争防止法と企業の管理体制―
![サイバー・セキュリティ[罪と罰]](/images/_main/200805/SI-107409.jpg)
