2005年12月24日

久しぶりのネットワークセキュリティ 〜 テクニカルエンジニア(情報セキュリティ)試験対策

トラブル続きで、自宅待機が続いたが、ようやく問題は解決した。今日は、コーヒーショップで3時間ほど、ネットワークセキュリティを久しぶりにやってみた。

内容は2度目、「復習」というスタンスになる。テーマは、社内LANのアクセス制御とウイルス対策の2つだ。

社内LANにつながっているサーバには、企業秘密や個人情報など、極めて重要な情報がある。必要な人には公開する必要があるが、部外者のアクセスは厳しく制限される必要がある。そのための手法は、大きく2つ。アクセス制御の基本は「セグメント分け」によるコントロール。ルータやレイヤ3スイッチでアクセスのコントロールをする。接続は可用性も考慮するとスター型が良い。また、外部からのアクセスを制限するには、ファイアウォールが基本だが、更にウイルス対策なども考慮するとステートフルインスペクションというものもある。

また、内部からの漏洩については、抑止策ということにも効果のある、IDSという手法がある。そもそもIDSは監視ツールであるから、これだけでは防御にはならないが、監視することで抑止効果が期待できる。より積極的に防御するには、IDPを使う方法がある。いずれもネットワーク上でパケットを監視するか、サーバー上でアクセスを監視するというのが基本だ。

そのほかに、セキュリティホール対策や未使用ポートの閉鎖など、基本技は当然必要だ。

さて、ウイルス対策だが、東京から移動の際に読んだ部分の復習。クライアントやメールサーバにスキャンソフト(ワクチン)を実装するだけでなく、正しく定義ファイルを更新することもネットワーク運営の立場からは意識しておく。また、持ち込みPCの管理も重要だ。社用として登録したもの以外に、私物や未登録(不審なPC)も社内LANに接続される恐れがある。情報の保護だけでなく、こうしたPC(登録済みも含めて)がウイルスを持ち込むことも当然考えられる。「検疫ネットワーク」という考え方で、登録PCは浄化してから正式にLANに接続する。

また、これもネットワーク制御と同様、セキュリティホールを突くウイルスやメールとか添付ファイルから以外にWebからでも感染する場合がある。少なくとも不要なポートは塞ぐ。ファイルによる感染の場合はパターンとの照合という方法もあるが、最近はサーバなどのメモリ上に常駐するウイルスもある。こうしたものは発見しにくい。先に述べたステートフルインスペクションが効果を示す場合がある。

ということで、明日は認証と暗号あたりをテーマに進めたい。用語とか手法は、使い方とセットで理解すると午後対策には有効だと思う。

posted by tamaso at 22:46| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。