セキュリティの考え方

以下に述べるものは、サーバーを構築する場合の常識に基づくセキュリティの概要です。当サービスで保証する内容でないことに注意して下さい。セキュリティの管理は、あくまでも、個人、会社の自己責任にて行って下さい。

セキュリティポリシーを策定し、それに基づき運用する

セキュリティポリシーとは、ネットワーク、システム上のセキュリティに関する設計図です。情報のセキュリティの目的や考え方の概要を示したもので、最初にこの設計図がなければ、後でネットワークやシステムに重大なセキュリティホールを作りかねませんので、十分に注意が必要です。 平成12年7月18日、情報セキュリティ対策推進会議決定の

情報セキュリティポリシーに関するガイドライン

がありますので、一度目を通してみて下さい。

全ての組織に当てはまるものではないかもしれませんが、1つの基準になると思います。

上記「ガイドライン」のセキュリティポリシー策定から実際の運用の流れは以下のようになります。

1. 組織・体制の確立 ...

「ポリシー策定には、組織の幹部の関与を明確にするとともに、その責任の所在を明確にするため、関係部局の長、情報システムの管理者及び情報セキュリティに関する専門的知識を有する者などで構成する組織を設ける必要がある。」

システム全体のポリシー策定からリスク分析、監査までの一連の作業を円滑に行える組織作りをする。

2. 基本方針の策定 ...

「この基本方針には、情報セキュリティ対策の目的、対象範囲など、各省庁の情報セキュリティに対する基本的な考え方を示す。また、ポリシーを理解するために必要な用語について、その定義を定める。なお、基本方針は、情報セキュリティに関する基本的な方向性を決定づけるものであることから、頻繁に更新される性質のものではないことに留意する必要がある。」

まず、守るべき対象を挙げていく。特定のサーバーを守るのか。社内のLANを外部から守るのか。外部には何を公開するのか、または社内のLANから外部には何を許可するのかなどを決めておく必要がある。これはFire Wallを立てるときの指針となる。

3. リスク分析 ...

「リスク分析とは、保護すべき情報資産を明らかにし、それらに対するリスクを評価することである。...なお、情報資産に変更があったとき、又は情報資産に対するリスクに変化が生じたときには、関係する情報資産についてリスク分析を再度行い、その結果ポリシーの見直しが必要となった場合にはその見直しを行う。また、定期的なポリシーの評価・見直しの際にも、リスク分析から再検討することが必要である。また、リスク分析の際に発見された情報資産の脆弱性で、早急に対応する必要のあるものについては、速やかに措置を講ずることが重要である。 」

目的と対象が策定できたら、それらがもたらすリスクの分析を行う。どのようなシステムの脆弱性があるのか、またその対応策はあるのか。ある場合はどんな方法があるのかなどを検討する。

4. 対策基準の策定 ...

「リスク分析の結果によって得られた各情報資産に対する個々の対策について、体系化した上で対策基準を定める。」

・ 組織・体制の整備
・ 情報の分類と管理(情報の管理責任と情報の分類と管理方法)
・ 物理的セキュリティ(情報システムの設置場所など)
・ 人的セキュリティ(教育・訓練、パスワードの管理、事故、欠陥に対する報告など)
・ 技術的セキュリティ(コンピュータウイルス対策、情報収集方法など)
・ 運用方法
・ 評価・見直し方法

5. ポリシーの決定 ...

「策定されたポリシー案については、情報セキュリティ分野の専門家による評価、関係部局の意見等を踏まえ、その妥当性を確認する手続を経ることが必要である。ポリシーには、関係部局からのポリシー案に対する意見を反映させるための手続を定め、各省庁における正式なポリシーの決定を必要とすることを定める。」

6. 導入 ...

「ポリシーの運用開始までに、ポリシーを関係者に周知徹底し、確実に実施するための措置を行う。」

7. 運用 ...

「ポリシーを確実に運用していくために組織・体制の確立、監視、侵害時の対応等の措置を適切に行う必要がある。 」

ファイヤーフォールを立てよう

常時接続環境の危険


構築するネットワークが社内や学内などの私的なLANに限ったことであれば、外部からの進入に対して完全に近い形で閉ざされますので、クラッカーなど悪意を持った第三者のアクセスは、常識的には考えられません。しかし、専用線、ADSL、ISDNなどの常時接続の環境では、ネットワークに接続されたコンピュータからいつでもインターネットに接続できるという理想的なネットワーク環境を手に入れる替わりに、第三者のアクセス、進入の危険にさらされます。

これは、サーバーを公開していなくても常時接続の環境では同じことです。「進入されても特に大事なデータなんかないから大丈夫!」と平気に言う人もいますが、これはもっての他です。

本当に大事なデータなどないのでしょうか。

実際には、そんなことはないと思います。個人でパソコンを使っている場合には、まず電子メールがあります。これほどクラッカーのほしいものはありません。メールアドレスからあなたの名前や加入しているプロバイダの名前、メールサーバーの名前が特定できます。盗んだメールアドレスを使って、他人のふりをして勝手にメールを送ることもできます。また、プロバイダのユーザIDとパスワードがパソコンの中に必ず存在しているわけですから、仮にそれらが盗まれてしまうと、そのユーザIDとパスワードを使って、不正にアクセスされてしまい、自分のホームページを改竄されたり、最悪お友達に対して悪さを働くことさえできます。

ましてやサーバーを立てている場合には、進入されたサーバーを使って、それを踏み台にして迷惑メールを大量に送ったり、Code Redコンピュータウイルスのようにそのサーバーを踏み台にして他のサーバーに攻撃するなど、もう1個人の問題では済みません。

そのような状況にならないようにセキュリティの対策をするのは、常識でもあります。

不正アクセスやコンピュータウイルスなどの国内の状況は、

IPAセキュリティセンター

で把握できますので、チェックしてみて下さい。


ファイヤーウォールとは


ファイヤーウォールは、このような第三者からの不正侵入をできるだけ防ぐために、外部ネットワークと内部ネットワークの中間に設置される「関所」です。日本語に直訳すると「防火壁」です。外部からのクラッカーの不正アクセスやデータの漏洩、改竄などを守る防波堤ということです。外部と内部ネットワークのデータは、必ずファイヤーウォールを通りますので、セキュリティ上管理しやすく、何かあった場合には、対応もしやすくなります。

図では、外部公開サーバーは無防備のように見えますが、実際には、ルータの次にファイヤーウォールが設置され、外部公開サーバーへのアクセスの制限もします。


ファイヤーウォールは、1台の機器として販売しているものもあれば、コンピュータにソフトウエアの形でインストールするものもあります。また最近では、ファイヤーウォールの機能が搭載されているルータが主流になってきております。 ファイヤーウォール機能を持つサーバーをファイヤーウォールサーバーと呼びます。

ファイヤーウォールサーバーは、大きく分けて

パケットフィルタリング方式
アプリケーションゲートウエイ方式

のものがあります。


ファイヤーウォール製品


ファイヤーウォールは、上で説明している通り、ハードウエアで実現しているもの、ソフトウエアで実現しているもの、いろいろあります。また、Linuxマシンがあれば、ファイヤーウォールサーバーは、無償(もちろんハードウエアは必要ですが)で構築も可能です。また、最近では安価なパーソナルファイヤーウォール製品も出てきました。以下にそれらを列挙します。

ノートン インターネット セキュリティ
マカフィーインターネットセキュリティ

これらの製品においては、弊社で保証するものではありません。詳細は各メーカーにお問い合わせください。