特集
内部崩壊する社内ネット
5つのシステム化で食い止めろ
社内ネットワークは多くの企業で運用されています。この社内ネットワークが、世界規模で発生するコンピュータウィルスやワームによって機能不全に陥ってしまったり、社内ネットワークを通して社内の機密文書が社外に流出してしまったりするという問題を取り上げています。
社内ネットワークは企業にとってもはやなくてはならないものになっています。しかしながら、一方でネットワークのダウンやネットワークを通した情報の流出など企業にとってのリスク要因にもなっています。この記事では、その防止策として5つの手法を取り上げています。この5つの手法を実施することによって、リスクを最小限にとどめようというのが狙いです。
昨今、ネットワークを使った犯罪は増加の一途をたどっており、世間一般の関心は高くなっています。その中で、いったん企業内から情報が流出したら「セキュリティの甘い企業」としてのレッテルを貼られてしまうでしょう。そうなると企業の営業活動に多大な支障を来すことになり、最悪の場合はその存続さえ危なくなってしまいます。
そういった現状を踏まえて、多くの企業では、セキュリティには十分気を使っています。それなのに、社内ネットの障害やそこからの情報流出が起きるのはなぜか、というところから記事は始まっています。
その理由を簡単に言えば、
・安価なネットワーク機器を簡単につなげることができる。
・コンピューターを利用するユーザーの底辺が広がっている。
ことによる、セキュリティホールの発生ということになるかと思います。
記事では、このことにより企業の社内ネットワークが「内部から崩壊」してしまうと述べられています。
このことを踏まえて、いかにしてセキュリティを確保し崩壊を防ぐかという話ですが。私としては、???です。確かに、事例の企業ではそれらの対策が有効かも知れません。ですが、セキュリティ対策でもっとも大切なものが抜けているよ、という気がします。それは、社員に対するセキュリティの啓蒙活動とルールづくりです。啓蒙活動により社員の意識を高めるとともに、罰則を含めた厳しいルールを設けることにより、抑止効果を狙います。(いわばソフト的な対策です。)コンピュータシステムを用いたいわゆるハード的なセキュリティ対策なんて、破ろうと思えば所詮破られてしまうものです。まず、社員のセキュリティに対する意識を変える必要が大です。
その後、そのソフト的な対策を補完するためのハード的な対策に向かうべきでしょう。ソフト的な対策はハード的な対策に比べてコストはかからず、効果は大きいはずです。
でも、ソフト的な対策ばかり論じていては、コンピュータ雑誌の記事にはなりませんので、今回は、ソフト的な対策は当然施すものとしてその後のハード的な対策を紹介しているんだと好意的に受け取るようにしましょう。セキュリティを意図的に破るつもりはなくても、ヒューマンエラーによりセキュリティが脆弱になることもありますから、その対策としての記事だと受け止めることにします。
で、この5つの対策です。
1.MACアドレスの認証とユーザー認証を利用する。
2.OSやアンチウィルスソフトのパッチが当たっていないマシンをネットワークにつなげないようにする。
3.2を補完するために、不的確なマシンに対して自動的にパッチを充てる仕組みを設ける。
4.インシデントの予兆を監視する仕組みを構築する。
5.すり抜け通信を遮断する仕組みを構築する。
1は、ネットワークカードごとに一意に設定されているMACアドレスを利用して、登録されていないPCの社内ネットワークへの接続を禁止するとともに、ユーザー認証によって第3社のネットワークへの進入を禁止するものです。これによって、接続できるネットワークの区分けを行うこともできます。
2は接続されたPCの脆弱性を検査します。システム管理サービスソフトウェア(System Management Services:SMS)などによって接続されたPCへのパッチの適合状況を把握し、基準を満たしていないPCをネットワークに接続できないようにします。
3は、2で不的確とされたPCに対し、自動的に最新のパッチを充てる仕組みです。これを「検疫ネット」と呼ぶそうです。
4は、早期発見早期対策と言うことです。不正なアクセスの可能性があれば、取り敢えずネットワークから遮断し管理者に通報するシステムを構築することで、被害を最小限に食い止めることができます。
5は、ファイヤーウォールやプロキシサーバーをすり抜ける通信を監視する仕組みを構築することにより、データの社外流出や外部からの進入を防ぐと言うことです。SSLなどの暗号化通信にも対応した製品が出てきているようです。
以上が記事の内容でしたが、例えば、派遣従業員が自社のネットワークに接続している場合、そのPCの所有者が派遣元だとしたら、そのPCに対するアンチウィルスソフトの導入などの強制力は・・・。こういったことは、事前に契約をきちんと結んでおかねばなりませんね。実際に今回大手プロバイダでおきた個人情報流出事件も社外の従業員が絡んでいると言うことらしいですし。
つまり、結論としては、
・人に対する啓蒙活動
・企業間での契約
・ハード的な防止措置
の3要素が必要と言うことになるでしょう。