| 毎週発行されているパートナーNewsより選り抜きの記事をご紹介! |
|
第八回 『セキュリティポリシー:アクセスコントロール』
|
● 外部接続方式
|
■ セキュリティポリシー:アクセスコントロール
アクセスコントロールとは、必要なリソースを必要な人だけが使用するということを目的に、情報の公開と遮断をシステム的に制御し、機密保護の観点でリソースの利用配分を効果的に行うことを言います。アクセスコントロールには、ネットワークで実現する場合とシステムで実現する方式がありますが、対象となるリソースの特性により、その適用方法は異なってきます。
● 外部接続方式
外部接続方式には、社外から社内のリソースを利用する形態(外部からの接続)と、社内から社外のリソースを利用する形態(外部との接続)があります。前者の代表的な利用形態は、モバイルによる社内リソースのアクセスと自社で管理する情報公開サーバ(Webサーバ)への閲覧であり、後者の代表的な利用形態はインターネットを使った情報閲覧と、業務遂行のために接続相手が固有に持つリソースの利用があります。
外部接続は、その行為によりリソース利用範囲の拡大という恩恵をもたらしますが、リソースにアクセスする迄の経路には、社内で安全性の保証責任を持てないネットワークを利用するというリスクが伴います。
外部接続方式では、外部からの接続と外部との接続に分類し、外部からの接続にはモバイルアクセスと自社管理情報公開サーバへのアクセスの規定を行い、外部との接続には、情報公開サイトへのアクセスと公認接続先とのアクセスの規定を行います。
・外部からの接続方針
外部からの接続方針として、モバイルアクセスと自社管理情報公開サーバ(Webサーバ)の接続、設置方針を設けます。
(1) モバイルアクセス接続方針
外部からのモバイルアクセス接続方針として、利便性、機密性、経済性の観点から適したモバイルアクセス網を規定します。
利便性ではアクセスする地域から接続可能である事を条件とします。それはアクセスポイントの提供エリア数の充実度を意味します。機密性では、データの盗聴や漏洩、侵入の不安が無く、社内ネットワーク相当のセキュリティが保たれている事が条件となります。経済性では、当該利便性、機密性の条件が保たれた上で、総コストが安価なサービスを規定します。モバイルアクセス接続方針では、利便性、機密性、経済性に優先度を設け比較します。
(2) 自社情報公開サーバ設置方針
情報公開サーバの設置形態には、アウトソース形態とインハウス形態があります。
コンテンツの更新頻度が低い静的コンテンツについては、外部攻撃からの防御性、管理性、経済性からアウトソース形態が向いていますが、新製品情報の即時公開や価額の変動が頻繁に発生しうる見積作成支援等、リアルタイムが要求されるアプリケーションの場合、インハウス形態による情報公開が、訪問者の利便性に優れます。
公開情報のリアルタイム化の必要性に備え、自社の情報公開サーバはインハウス形態を考慮し、インハウスでの設置に備えた外部接続方式を規定する必要があります。
・外部との接続方針
外部との接続では、社外にある情報を利用するという形態から、情報公開サイトとのアクセス方針と公認接続先との接続方針に分類します。
(1) 情報公開サイトとの接続方針
情報公開サイトとのアクセスに付いては原則許可し、インターネット上のアプリケーションをアクセスする際に通過する、FireWallのアクセスルールの規定とアクセス制御を実施し、制限する事を情報公開サイトへのアクセス方針とします。
(2) 公認接続先との接続方針
EDIをはじめとする閉域ネットワークの接続には、セキュリティを充分考慮した形態を検討する必要があります。それ以外の外部との接続は原則禁止とするのが一般的ではありますが、例外申請があった場合接続ルートや接続相手先について審査し、インターネット経由の接続が不可能な理由を厳密に検討し、業務遂行のために必要価値がある場合で、かつ機密性が保持されることが確認された場合に限り、公認接続先として接続を可能にします。
・ 外部からの接続方式
外部からの接続方式として、モバイルアクセス接続方式と自社情報公開サーバをインハウスに設置した場合のアクセス方式(処理方式)に分類します。
(1) モバイルアクセス接続方式
モバイル接続方針で定義した、リモートアクセス採用観点から、インターネットVPNとグローバル閉域IP網サービスを比較します。
利便性では、アクセス可能エリア(アクセスポイント数)が比較対象となりますが、アクセスポイント数とは、モバイルユーザが利用可能なアクセスポイント数であり、世界全域への海外出張を想定したモバイルアクセスが必要です。
機密性では、セキュリティ保持が比較対象となりますが、パブリックなネットワークでセキュリティ強度が高いという事は、処理するデータ量が多くなる事で、スループットが低下する懸念があります。
経済性では、イニシャルコスト、ランニングコスト、管理コスト等の総コストが比較対象になります。イニシャルコストでは、セキュリティ防御機器を自社に設置するか、ランニングコストではサービス利用料金、管理コストではセキュリティ防御機器を自社運用するかアウトソースするかの組み合わせから判断する必要があります。
(2) インターネットVPNのモバイルアクセス接続方式
インターネットVPNのモバイルアクセス接続方式は、VPNとSSLを併用したSSL-VPN方式で実現するのが一般的となりつつあります。
SSL-VPN方式はWebブラウザが標準に搭載するSSLとVPN機能を使いインターネット上にトンネリングでの通信を実現させます。ユーザIDやパスワードによりRADIUS認証連携機能もサポートするため、社内ネットワークでRADIUSを採用している場合、外部アクセス者向けに認証機能を設ける必要はありません。通常のSSLはHTTPのみのサポートですが、SSL-VPNではJavaエージェントの利用によりHTTP以外のアプリケーションの利用も可能となります。
SSL-VPNはアクセス制御機能をサポートしており、外部からのアクセスを専用のサーバに振り分ける事も可能です。
・ 外部との接続方式
(1) 情報公開サイトへの接続方式
情報公開サイトへの接続方式では、社内から社外へアクセスする際に通過(アウトバウンド)するFireWallのアクセスルールをプロトコル単位(サービス)で規定する必要があります。
基本的には、情報公開サイトへのアクセスに必要なサービスに加え、遮断する事により業務に支障が出るサービスを対象とします。一般的に情報公開サイトへアクセスで許可するサービスを以下に示します。社内から社外へのアクセスには、以下のサービス以外の通過は許可しないものとします。
| NO |
サービス |
ポート番号 |
機能 |
| 1 |
http |
80 |
httpサービス |
| 2 |
https |
443 |
httpsサービス |
| 3 |
FTP |
21 |
FTPコントロール |
| 4 |
domain |
53 |
ドメインネームサービス |
・ 外部からのアクセス許可対象
外部からのアクセス許可対象は、端末からのアクセスと携帯電話からのアクセスとに分類されます。
(1) 端末からのアクセス許可対象
端末からのアクセス許可対象は、外部アクセス者のユーザIDから規定することが可能です。SSL-VPNでは、ユーザID、パスワードによる認証機能をRADIUSと連携し、アクセス先のサーバに接続する際に、ユーザ毎に専用のサーバに振り分ける事が出来ます。従って、外部アクセス者のユーザIDとアクセス許可対象となるサーバの情報(IPアドレス)をマッピングしアクセス許可対象を設定します。
(2) 携帯電話からのアクセス許可対象
携帯電話からの外部アクセスには、公開鍵方式によるモバイル認証の利用が可能ですが、携帯電話が会社から支給され個体番号が人とディペンドされ管理されている場合には、モバイル認証は採用せず、携帯の個体番号でアクセス許可対象を設定することも可能となります。
・ 外部とのアクセス許可対象
外部とのアクセス許可対象は、外部との接続により社内への不正アクセスと社内の情報漏洩が発生しない相手先を対象とする必要があります。社内ネットワークについては、VPN機器からFireWallへのアクセスは遮断し、外部の接続先拠点においては、VPN機器を通過後(復号後)の経路中で不正にスニファリング(覗く)されない環境、制度である事を確認の上、外部とのアクセス許可の対象とする必要があります。
|
|
|
|
