| 毎週発行されているパートナーNewsより選り抜きの記事をご紹介! |
|
第六回 『セキュリティポリシー:アクセスコントロール』
|
● ネットワークアクセスコントロール
|
■ セキュリティポリシー:アクセスコントロール
アクセスコントロールとは、必要なリソースを必要な人だけが使用するということを目的に、情報の公開と遮断をシステム的に制御し、機密保護の観点でリソースの利用配分を効果的に行うことを言います。アクセスコントロールには、ネットワークで実現する場合とシステムで実現する方式がありますが、対象となるリソースの特性により、その適用方法は異なってきます。
● ネットワークアクセスコントロール
ネットワークアクセスコントロールは、アクセスする端末に割り当てられているIPアドレスの情報を基に、そのIPアドレスで到達が許されるサブネット上のリソース(サーバ)だけをアクセスすることにより実現させます。従って、アクセスの対象は、サブネット(場所)で規定する必要があります。
・アクセスルート
アクセスリソース対象のサブネットに対し、アクセスする端末からのルート情報を以下のように3分類します。
(1) 常時アクセス出来るルート
端末からホストへアクセスするルートの内、アクセス許可するルートを規定します。
(2) 認証を持ってアクセス出来るルート
端末からホストへアクセスするルートの内、何らかの手法による認証を持ってアクセス許可するルートを規定します。
(3) アクセスを遮断するルート
端末からホストへアクセスするルートの内、遮断するルートを規定します。
・アクセス
必要なリソースを必要な人だけが使用するという目的を実現する上で、アクセスする人とアクセスする場所の定義が必要となります。被アクセス対象に対して、アクセスする端末の利用者(アクセス者)と場所を分類する必要があります。
(1) アクセスする者
アクセスする者の区分として、組織によって分類の仕方はまちまちですが、代表的な例として以下の5分類に区分します。
1)社内同一部門
2)社内他部門
3)関連会社
4)協力会社
5)外部
(2) アクセス場所
アクセスする者の区分として、以下の4分類に区分します。
1)関係部内
2)関係部外
3)協力会社
4)外部
・被アクセス
サブネット単位でのアクセスコントロールを実現する上で、端末からアクセスされるリソースの設置場所とリソースまでのアクセス経路を通る、アクセス媒介を分類します。
(1) 被アクセス場所
一般的な分類として以下の3分類とします。
1)サーバファーム(サーバ集中配備セグメント)
全社的に利用されるサーバが、配備されるセグメントへのアクセス。
2)DMZ(非武装地帯)
社内LANとInternetからのアクセスを許可するセグメントへのアクセス。
3)各部門サーバ
・各部門内に設置され、当該部門のデータを収納しているサーバセグメントへのアクセス。
(2) アクセス媒体
アクセス媒体として以下のインフラが必要となります。
1)拠点間を接続するネットワークを中継するアクセス回線
2)外部セグメント(Internet)
3)モバイル/自宅等で使用する時、中継するアクセス媒介。
・アクセス対象
サブネット単位でのアクセスコントロールで、認証によるIPアドレスの割当が必要な場合にアクセス対象者を規定します。
(1) アクセス権によるアクセス対象者
アクセス権によって、サブネット単位のアクセスコントロールを行い、アクセスを遮断する事が可能になります。
(2) システム管理によるアクセス対象者
システム管理者毎に、担当するシステムを収容するサブネット単位にアクセスコントロールを行い、担当システム毎にアクセスルートを固定化する事が可能です。
(3) 部門が固有に持つアクセス対象者
部門が固有に持つリソースを収容するサブネット単位アクセスコントロールを行い、部門外者のアクセスを遮断する事が出来ます。
・ アクセスコントロール方式
以上検討した、「アクセス」が「被アクセス」の「アクセス対象」に対して通信を行なう場合の「アクセスルート」を規定するネットワークアクセスコントロールを実現する方式としては、以下の3方式があります。
(1) VLAN方式
アクセス端末と被アクセス対象を同一VLANサブネット上に設置し、当該サブネットへのアクセスは、L3機器のACL(アクセスリスト)でサブネット間通信を制御します。ACLの記述により、関係部内外、分社化他社、関連会社、協力会社、外部へのアクセスをコントロールします。尚、VLAN方式ではID、パスワードの識別は行わないため、アクセス者によるアクセスコントロールは行うことができません。場所(サブネット)による制御のみとなります。
(2) 認証VLAN方式
認証VLAN方式では、アクセス者は端末からID+パスワード等の個人認証情報を入力し、RADIUSサーバから接続端末とユーザの属性情報の認証を受けてVLANにアクセスします。各VLANへのアクセスには認証が必要なため、外部者がIPアドレスを詐称して端末をLANに接続してもVLANにはアクセスすることができない。
アクセス者(ID)とアクセス場所(VLAN)をRADIUSサーバで管理し、ログインによって配布する事により、認証VLAN方式を実現することができます。認証VLAN方式では、アクセス者とアクセス場所(被アクセス場所)によるアクセスコントロールが実現できます。
(3) 検閲VLAN方式
検閲VLAN方式では、検閲と各種環境のダウンロードだけが行なえるサブネットを設け、アクセス者が初めてアクセスする時は、全て当該検閲サブネットに誘導し、規定のセキュリティポリシーを満足しているかどうかチェックを行ないます。満足し
ていない場合は検閲VLAN上でダウンロードを行う、規定外のソフトウェアをアンインストールするなどした上でなければ正規のVLANへのアクセスができなくなります。
(例:ウィルス定義ファイルが規定寄りよりも低い場合は検閲VLANで規定まで定義ファイルを反映されるまで、アクセス不能となります)
|
|
|
|
