基礎から学ぶネットワーク構築

第1回 ネットワークシステム全体設計のキーポイント

第2回 セキュリティ

第3回 セキュリティに関する基礎知識

第4回 ウィルスとワーム

第5回 ネットワーク設計を考える

 

「基礎から学ぶネットワーク構築」 (連載第2回)

2. セキュリティ

インターネットが広まったや1995年当初は、犯罪の少ない良いところでした。ところが、インターネットの爆発的な広がりと共に、急速な発展を遂げ、それに比例して、犯罪が増えてきました。そして、最近では、セキュリティを無視したシステム構築は、システムとしての致命的な欠陥を残すことが広く認識されるようになってきて、ファイアウォールやセキュリティホール対策を含めた、システム構築と運用が要求されるようになりました。いろいろな不正アクセスの実体が公表されるにつれ、セキュリティに対する関心が急激に高まってたことは良いことですが、インターネット犯罪が増えていることは残念なことでも有ります。

2.1 危険は身近に迫っている

2.1.1 外部からの攻撃

2000年から2001年にかけて、公官庁や日本企業のホームページがターゲットされて、改竄される事件が相次ぎました。最近の例では2001年初頭から広がった、「Ramen」、「Lion」、「Adore」といった新種のワームです。このワームの場合は、Linux オペレーティングシステムの「DNS」や「FTP」といった基本的に外からアクセスされるようになっているサービスソフトのセキュリティホールを攻撃して、かつ、自己増殖を試みるものでした。もう一つは、2001 2月初頭から広がった、Windows NT/2000サーバで稼動している マイクロソフト社のWebサーバーであるIIS (Internet Information Server)への同様の攻撃です。

また、これだけではありません。無用なスパムメールを大量に送りつけられたり、スパムメールの踏み台にされた話もよく聞きます。ある大手企業では、不正と思われるアクセスが1日数千件もあるそうです。また、故意か、ウイルス感染によるものかはわかりませんが、毎日のようにウイルスメールが送られてきたりしている企業もあります。もっと怖いことは、まったく無防備でチェックさえしてないサイトが多く、自分達が加害者になっていることさえ、知らずにいることです。

2.1.2 持ち出される機密情報

 セキュリティ問題は、悪意の第三者によるケースが派手でわかりやすいですが、それと同じくらい注意が必要なことは、内部の人間によるセキュリティの脅威です。悪意の第三者の犯罪よりも内部の人間による犯罪のほうが多いという統計結果もあります。一般的に、これまでのシステム構築では、内部の人間へのセキュリティ対策が不十分で、内部の人間であれば、容易に犯罪ができてしまう状況でした。顧客リストの売買や社員名簿の売買がマスコミに取り上げられたことがありますが、それが内部の人間による犯罪だったことも忘れてはいけません。

2.1.3 持ち込まれるウィルス

 従業員のセキュリティに関する知識と意識が低い場合、一個人だけの問題にとどまらず、システム全体に危険を及ぼすことも忘れてはいけません。たとえば、Webサイトからダウンロードしたウィルスのファイルを開いたり、メールに添付されたウィルスのファイルを不用意に開いたために、会社全体がウィルスで汚染され、大きな被害を受けることもあります。これらを防ぐためには、従業員へのセキュリティ教育が重要です。

2.2 セキュリティポリシーとは

インターネット上の脅威に対する最も効果的な対策は、「インターネットに接続しないこと」の一言に尽きます。しかし、もはやインターネットが仕事の一部となってきている現在、脅威があるからといって接続しないわけにはいきません。そこで、企業がとるべき方針として、企業として、セキュリティポリシーをつくり、そのポリシーに合ったシステムを構築し、そのポリシーに合った運用ルールを遵守することがあげられます。

セキュリティポリシーを作るということは、企業としての守るべきものを明確にし、その企業全体のセキュリティに対する考え方、行動指針を明文化することです。セキュリティポリシーを作ることで、セキュリティ対策に抜けが生じることなく、安全に運用できるようになるのです。たとえば、セキュリティホールの調査を忘れていれば、そのセキュリティホールから侵入される場合もあります。ひとつでも対策を怠れば、システム全体としてのセキュリティは低いものになってしまいます。ですから、セキュリティポリシーを作成し、それを遵守して運用することはたいへん重要なことなのです。

セ仕方をよく理解してもらい、忠実に実行してもらえるようにすキュリティポリシーは作成しただけでは役に立たちません。従業員全体に目的と実施のる必要があります。そのためには、次のような点に留意し、利用者への徹底指示と運用の展開をすることが必要です。

(1) 利用者へのセキュリティポリシーの周知、徹底するための教育

(2) セキュリティ対策責任者の明確化

(3) 定期的あるいは常時のセキュリティ状況の監視

(4) セキュリティポリシーと対策の見直し

そして、犯罪の手口は加速度的に増加しています。セキュリティポリシーを作った瞬間は安全であっても、明日になれば新しい問題が出ているかもしれません。ですから、セキュリティポリシーは定期的に見直し、スパイラルアップして高度化していくことも忘れてはいけません。

 

Copyright(c) 1999, 2000, 2001 Y2 Project Corporation. All Rights Reserved.