ネットワーク 一覧

TCP/IPのIPアドレス

TCP/IPの通信プロトコルは、IPアドレスとポート番号が重要な働きを行っています。IPアドレスがコンピュータの住所を示し、ポート番号がアプリケーションを示しています。インターネットの爆発的な普及によりIPアドレスの枯渇が問題になっています。

TCP/IPのIPアドレス表記

IPアドレスは、世界でたったひとつしかないコンピュータの識別番号で、2進数8ビット単位のデータ列が4ブロックで構成された32ビットのアドレス空間で表現されています。これら4桁分の値を単純に掛け合わせた数値が、TCP/IPで認識可能な最大値(約43億台のコンピュータが接続可能)です。

ただし、クラス分けによる管理を行っていることから、実際には、43億台よりも少ない数しか利用できません。また、インターネットの爆発的な普及により、IP アドレスが不足するといった枯渇問題が浮上しています。IPアドレスの枯渇問題に対応した次世代のIPアドレスとしては、「IPv6」と呼ばれている新アドレス体系が期待されています。IPv6では、128 ビットのアドレス空間により、無限に近いコンピュータの接続が可能です。また128ビットのアドレス空間があるので、コンピュータ以外の家電製品や医療機器、電子デバイスにいたる、あらゆる製品にIPアドレスを割り当てることが可能です。ただしIPv6への移行は、さまざまな問題が障壁になっており、一朝一夕に解消するものではありません。現実的な移行作業が完了するまでは、現在の32ビットIPアドレスを無駄なく使い続ける必要があります。当面、IP アドレスの枯渇問題を考慮したインターネット接続が重要な課題となるでしょう。

IPアドレスのクラス分け

IPアドレスは、ネットワークのアドレスを示す「ネットワークアドレス部」とネットワーク機器(パソコンなど)を示す「ホストアドレス部」で構成され、接続するコンピュータの規模にあわせてA 、B 、C 、D のクラスに分けられています。

クラスC の場合は、ネットワーク機器を254台(2個は予約アドレス)まで割り当てることができ、クラスBの場合で約6500台、クラスA の場合で、16770000 台のコンピュータが接続できます。クラス分けの中でも特別扱いとなっているクラスDの場合は、IPマルチキャスト通信(一斉に同報通信すること)を実現するための特殊なIPアドレスです。クラスDは、一般の企業には割り当てられませんが、一斉同報で効率よく伝送するためのアドレスとして使用されます。


その他の脅威など

機密情報の保護には、情報の生成、保管、転送から破棄まで、終始一貫した総合的なセキュリティ対策が必要です。目に見えない情報の管理は、生成から廃棄まで徹底した情報セキュリティの管理体制が必要です。

データのバックアップ

データのバックアップは、コンピュータシステムを利用する仝利用者の基本的なセキュリティ対策です。PDAや携帯ノートパソコンを利用する場合でもデータをバックアップしておけば、ハードウェア故障や誤操作によるデータ消去といったトラブルから、重要なデータを保護することができます。
データのバックアップ方法としては、個々のクライアント側で外部記憶装置として外付けHDDといったバックアップ装置を取り付けてバックアップする方法もありますが、オフィスでパソコンを使っている場合なら、サーバーシステムの集中的なバックアップ対策が効率的です。

バックアップデータの管理

データをバックアップしたディスクなどの記憶媒体は、データをバックアップ後の保管方法や保管場所に関するセキュリティ対策を十分に検討しかナればなりません。データ消去からデータを保護しても、結果的に第三者が無断で取り出せる保管体制では、バックアップデータから企業の機密情報が漏洩します。
そのためにも、バックアップしたデータの厳格な運用管理を行い、不正な操作ができないようにしなければなりません。バックアップしたデータの保管場所は、信頼できる保管業者にアウトソーシングするか、社内にデータバックアップセンターを設立して保管を目的とした管理部門を設立する方法があります。いずれにしてもバックアップしたデータの安全管理を十分に検討する必要があります。

オフィスの電源対策

普段なにげなく使用しているオフィスの電源は、トラブルが発生しない限り、安全対策の対応が後回しにされる傾向にあります。しかし、最近のパソコン設置台数の増加とともに、電力消費の過負荷によるトラブルが発生しています。突然電源が落ちてしまったり、雷や自然災害による停電事故などの不慮の事故発生により、パソコンのデータが消去されたり、ハードディスクが破壊されるといったトラブルが発生しています。パソコンを利用するオフィスでは、電源のリスクに備えた対策が必要です。
電源障害のリスクを無視したパソコンの運用は、大切なデータを一瞬にして消去してしまう時限爆弾を抱えているようなものです。


ECサイトの弱点

インターネットを活用した電子商取引(EC)も一般的になりましたが、商品の発注や課金システム、個人情報など、金銭こ関連する情報がハッカーの標的となっています。ECサイトのサーバーシステム構築では、安全で堅牢なセキュリティ対策が重要な鍵を握っています。

ECサイトのサーバーシステム

ECサイトのサーバーシステムは、金銭にかかわる重要な情報を扱うシステムです。ハッカーからみれば、リスクを冒してでも攻撃する価値あるサイトです。ECサイトの運用については、ハッカーの不正なアクセスに対抗したセキュリティ監視を徹底して行う必要があります。
24時間フルタイムで不正なアクセス攻撃に備えなければなりません。

個人情報保護は必須

通常ECサイトのサーバーには、商品発注に関するオーダー情報や決済処理で利用したクレジット番号や顧客の住所、電話番号など、重要な個人情報が多数保管されています。これらECサイトに保管されている個人情報は、不正な窃盗や盗聴に備えたセキュリティ対策が必要です。
万が一、これら個人情報が漏洩した場合は、利用者からの訴訟ヤクレーム、社会的信用の失墜といった重大なトラブルが起き、サイトの運用が困難な状況に追い込まれます。ECサイトを立ち上げる企業は、このような個人情報に関するセキュリティ対策を最優先で検討しなければなりません。

インターネット詐欺

ネット販売で注意しなければならないことは、詐欺行為に対する対策です。「発注したのに品物が届かない」、「発注した品物と異なる品物が届いた」、「商品を発送したのに入金が滞らている」など、利用者側、店舗側の双方に発生する重大な問題です。
これら詐欺行為を軽減するための対策を十分に検討して、EC事業を開始しなければなりません。また店舗側は、顧客からの信頼を得るために、何らかの具体的な対策を取らなければなりません。
SSLによる認証の取得やドメイン名の取得、有名サイトとの相互リンク、ポリシーの公開といった目に見える形でセキュリティ対策を実施することが必要です。ECサイトの運用は、信用を高める対策が必要です。次の4点がポイントになります。

  • 課金システム
  • 公開鍵の管理
  • 個人認証
  • 個人情報の管理

エクストラネットの弱点

エクストラネットの構築では、暗号やアクセス制御による社内の物理的なセキュリティ対策以外こも、接続する相手企業のセキュリティ対策も重要となってきます。セキュリティ対策の遅れた企業は、エクストラネットによる相互接続が難しくなります。

エクストラネットによる企業間取引

エクストラネットの構築は、複数の企業間でネットワークを相互接続することで、従来煩雑だった受発注処理や販売管理、在庫管理などの業務処理が飛躍的に改善されます。ただし、エクストラネットを構築するには、おのおの企業で一定基準以上のセキュリティ対策が必要不可欠であり、セキュリティ村策の遅れた企業では、エクストラネットの構築が難しくなります。

セキュリティポリシーが必要

エクストラネットで接続する企業間の信頼関係は、セキュリティ村策の取り組み姿勢で決定するといっても過言ではありません。セキュリティレベルについては、双方のセキュリティ担当者が相手企業のセキュリティポリシーを確認し、不足したセキュリティ対策については、双方で十分に協議する必要があります。
エクストラネットのセキュリティレベルは、片方の企業がどんなに優れたセキュリティ基準を満たしていた場合でも、一方のセキュリティレベルが低い場合には、システム全体としては低い水準に落ちてしまいます。エクストラネットの構築では、企業のセキュリティポリシーの策定と運用を最優先で検討しなければなりません。

VPAN接続

インターネットの通信回線を利用して、安全で信頼できる企業間取引を行うには、VPANと呼ばれる、暗号システムの導入が必要不可欠です。VPANを利用すると、インターネットの通信システムでも専用線と同じような機密性の高いネットワーク環境が構築できます。

相互確認

盗聴に村するセキュリティ対策はVPANで可能ですが、それだけでは不十分です。なりすましによる暗号鍵が不正に使われた場合は、誤認する恐れがあるからです。エクストラネットの構築では、信頼できる第三者が管理する公開鍵暗号方式を採用した相互認証が必要です。


イントラネットの弱点

イントラネットの運用については、グループウェアと同じ社内コンテンツの管理やアクセス制御および機密情報の漏洩防止対策など、イントラネットに適応したセキュリティ対策が必要です。

コンテンツの情報管理

イントラネットで情報の発信を行うWWWサーバーシステムは、Webアプリケーションによる業務の効率化、情報の共有化などの社内システムを支える重要な通信インフラとなっています。ところが、イントラネットの規模が巨大化するにつれ、掲載された情報の著作権や機密情報の管理など、さまざまな問題が浮上します。

社内wwwサーバーの管理・監視

wwwサーバーによる情報発信は、比較的誰にでも手軽にシステム構築が可能です。情報発信が容易に行えるために、発信した情報のコンテンツによるさまざまなトラブルが発生します。たとえば、ソフトウェアの違法コピーを助長するダウンロードサイトや音楽データの配信など、著作権を無視したサイトの運用が問題となります。
また、社内誹譲の情報発信やプライバシーの問題など、wwwサーバーが不正に利用される危険性も高くなります。イントラネットに設置されたwwwサーバーについては、監視が必要です。

ウェブブラウザのアクセス制限

ウェブブラウザの大量導入による情報アクセスは、外部のホームページをアクセスすることによる情報収集、ECサイトでの商品発注など、利便性が大幅に向上します。ところが、ウェブブラウザのセキュリティは、閲覧するだけでも各種脅威にさらされます。

たとえば、不正なJavaアプレットが埋め込まれたホームページへのアクセスは、個人のデスクトップ環境が何者かによって不正に操作されたり、情報が盗み取られる恐れがあります。また、バイナリデータのダウンロードによるウィルスの感染やハッキングツールのダウンロードなどの脅威もあります。ウェブ ブラウザの利用については、仝利用者がセキュリティの問題について意識する必要があります。また最近では、業務とは無関係なW eウェブサイトへのアクセスによるモラルの低下といった問題などもあり、社内の不正なアクセスに対するセキュリティ村策も必要です。


インターネットの弱点

インターネットを活用した企業間取引や顧客へのサービス提供などは、もはや戦略的なビジネス展開を模索する企業にとって欠かすことのできないものとなりました。 しかし、インターネットの通信環境は、ハッカーによる不正侵入ウィルス感染といったさまざまな脅威にさらされます。

ファイアウォールの導入が必要

ファイアウォールは、企業ネットワークとインターネットの中間に接続し、インターネットからの不正なアクセスを遮断するシステムです。ファイアウォールを設置したネットワークシステムは、内部から外部へのゲートウェイ的なアクセスを可能にし、インターネットの各種サービスを安全に利用できるようにします。
ただしファイアウォールを導入すれば、100%完全に企業ネットワークが安全になるというわけではありません。
ハッカーによる不正侵入では、ファイアウォール本体のセキュリティホールを突いた攻撃やポートスキャンによる攻撃、アクセスを妨害する使用不能攻撃など、さまざまな攻撃を受ける危険性があります。企業ネットワークを安全に保護するには、ファイアウォールの定期的なログ監視やメンテナンス作業が必要です。

メールサーバーは格好の攻撃対象

インターネットの電子メールサーバーは、外部からでもアクセス可能な場所(非武装セグメントと呼ばれます)に設置されます。メールサーバーをファイアウォールで保護していても、ハッカーから見える場所に変わりありません。
ハッカー側から見れば、メールサーバーのセキュリティホールを突いた攻撃対象となります。メールサーバーは、メッセージの不正盗聴スパムメールの不正中継処理、踏み台利用など、さまざまな脅威にさらされています。

WWWサーバーも標的に

WWWサーバーを活用した企業情報の公開は、盗むものが少ないとはいえ、ハッカーからのさまざまな攻撃対象となります。特に有名企業のホームページの場合は、デマ情報の発信元として悪用されたり、卑猥な画像が貼り付けらたりするなどの脅威にさらされます。
また、不正な添付ファイルの貼り付けによるウィルス拡散もあり、企業のWWWサーバーは、常時狙われていると思って間違いありません。
不運にもWWWWサーバーがハッキングされた場合、ホームページを運営してる企業の社会的な信用が失墜する恐れがあります。WWWサーバーを公開する企業には、24時間ハッカーからの不正な攻撃に対抗できるセキュリティ対策が必要です。
そういった運用コストを考えるとWWWサーバーなどは格安で非常に楽に運用できる外部のサーバーを利用したほうがいいでしょう。

格安サーバーはこちら


モバイルを使った場合の弱点

モバイルは、外出勤務の多い営業マンやサービスマンなどの活動範囲を広げる便利なシステムツールです。しかしシステム構築や運用に不備があると、外部からの不正な侵入の裏口として機能してしまいます。

モバイルシステムの脅威

外出勤務の多い営業マンやサービスマンを対象としたモバイルシステムの導入は、営業マンが外出先からオフィスに戻る移動時間を短縮し、遠隔地の顧客に対する活動範囲を広げるなど、大幅な業務処理の改善が期待されています。しかしモバイルシステムは、外部から企業のネットワークにアクセス可能なシステムです。当然、ハッカーの不正な侵入が可能になる裏口としても機能するため、危険性が高くなります。

攻撃の対象となるRASサーバー

企業ネットワークに外部からのアクセスを可能にするには、RASと呼ばれるサーバーシステムを導入します。RASサーバーは、Windows NT やLin ux などのサーバーシステムに、モデム装置を接続してサービスを追加するだけで、比較的簡単に構築できます。RASサーバーの構築が比較的誰にでも簡単にできることが、重大なセキュリティホールとなっています。ハッカーの攻撃による侵入手口としては、パスワードの辞書攻撃、回線の盗聴によるパスワードの盗み取り、トロイの木馬をしかけた偽装工作など、さまざまな攻撃パターンがあります。モバイル環境では、これらハッカーからの攻撃に備えた、セキュリティ対策を集中的に行う必要があります。

よくある不正なRASサーバー投置

RASサーバーの設置や運用は、必ずしもIT部門の承認や経営者の承認を得て行われているわけではありません。むしろ、現場担当者の勝手な判断で運用されているケースが多々見受けられます。これは、RASサーバーの設置が比較的容易にできることが原因で、利便性の問題と考えるべきでしょう。
IT部門の管轄外のRASサーバーが業務で運用されていた場合、企業ネットワークが不正な侵入の攻撃を受ける危険性が高くなります。実際に企業ネットワークが不正に侵入された事件では、IT部門の知らないところで運用されたRASサーバーからの侵入がほとんどです。不正なRASサーバーの運用については、定期的な監査により、モデムが接続されている装置の洗い出し捜査が必要です。

モバイル端末の安全性

モバイル環境のセキュリティ対策は、RASサーバー以外にもモバイル端末の盗難や紛失による企業機密の漏洩に対する対策も必要です。


PC-LANの弱点

PC-LANを中心にしたネットワーク環境は、パソコン周辺のすべてがセキュリティの弱点となる危険性を秘めています。パソコン本体やハブ、ケーブル、プリンタなどの情報機器が、企業情報を盗み出す道具として機能します。

PC-LANの通信環境

PC-LANの通信システムは、イーサネットと呼ばれるCSMA/CD方式を採用したメディア共有型の通信システムです。CSMA/CD方式では、情報の伝達を仝端末に対して平等にブロードキャスト信号およびデータ信号を発信するため、どこからでもデータ信号の盗聴が可能です。PC-LANのセキュリティ村策には、ケーブル1本でも盗聴が可能だという認識が必要です。

ハブの空きポートの問題

PC-LANの通信端末を接続するには、ハブと呼ばれる通信機器を利用します。しかもハブの接続可能なポート数は、一般的に端末の拡張を見越した数を確保します。したがって空きポート(使われていないポート)が存在することになり、これら空きポートの放置は、不正な端末の接続が可能なほか、パケットの盗聴や不正侵入の出入口としても機能します。
このようなハブの空きポートは、できるだけ機能させない工夫や村策を行うことが必要になります。

IPアドレスの管理

TCP/IPの通信プロトコルをベースにした、イントラネットの環境は、不正なコンピュータ接続によるIPアドレスの衝突問題が発生します。IPアドレスの障害発生がサーバーシステムと同一の場合、各種サービスの停止や通信不能といった重大な障害が発生します。このような障害を発生させないためにも、IPアドレスの配布方法や、管理手法については、徹底した管理が必要です。最近では、IPアドレスをネットワーク機器に自動的に割り付けるDHCP サーバーを利用した、IPアドレスの集中的な配布および管理が主流になりつつあります。

サーバー管理

PC-LANのネットワークアプリケーションを支えるサーバーシステムは、物理的な破壊や不正なプログラムのインストールなど、さまざまな脅威にさらされています。会社共有の資産を保管するサーバーシステムへのアクセスは、適正な利用者権限による制限やアクセス制御、物理的なセキュリティ対策が必要です。
具体的なセキュリティ対策としては、データのバックアップ作業や無停電電源の実装、施錠可能なマシンルームへの設置などがあります。

ネットワークプリンタの管理

ネットワークプリンタは、複数のユーザーで共有しますが、印字後の印刷物から機密情報が漏れる場合があります。特に会社役員、人事部など機密性の高い文書を扱う部署では、ネットワークプリンタの使用を禁止する必要があります。

グループウェアの問題

グループウエアの導入により、社内コミュニケーションの活性化および情報の共有化を実現した結果、共有化した機密情報の不正な持ち出しやチェーンメールの配信など、運用上の問題が浮上します。

電子掲示板の運用規定

電子掲示板は、社内のコミュニケーションを活性化させるシステムとして加速度的に普及しました。ところが利用者の増加とともに、掲示板に掲示された機密情報の不正な持ち出しや経営者に対する誹誇中傷記事の掲載、チェーンメールの配信、大量データの配信によるシステム障害など、グループウェアの運用に関するトラブルが多発しています。全社員がグループウェアを正しく運用するための運用規定を定めたポリシーを策定し、不正利用者に対する監視や罰則策定といった厳しい対応が必要です。

メール

グループウエアの基本ともいえる電子メールは、利用者の急増とともに、会社の業績に関係した機密情報の漏洩や誹話中傷のメッセージ配信、あるいは攻撃的なメッセージの配信、「CC:」、「BCC:」といった電子メールの基本的な誤操作によるメールアドレスの配信や大量データの配信によるトラブル、あるいはウィルスの感染などのトラブルが多発しています。電子メールを全社レベルで安全に運用するためには、全利用者に村する徹底したセキュリティ教育の実施、電子メール専用のセキュリティ製品を導入するなど、電子メールのセキュリティ対策が必要です。

パスワード管理

グループウェアの利用者は、パスワードの管理が重要です。グループウェアの導入が進むほど、会社の重要な機密情報に、集中的にアクセスできるため、何時、誰が、どこで、何をアクセスしたのか、アクセスログの監査、監視が重要になります。そのためにも、グループウエアの利用者を特定するパスワードの管理は徹底して行う必要があり、推測可能な安易なパスワードの設定やポストイットの貼り付け、メモ書きなど、パスワードを盗まれないための対策や教育が必要です。

アクセス制御

グループウェアで公開された情報は、誰でも見られる状態に放置した場合に、情報の管理および制御が難しくなります。社内の機密情報にアクセスする場合は、必ずある一定のレベル付けを行った、利用者のアクセス制御を行う必要があります。


パソコンとその周辺の弱点

パソコンを中心としたオフィス環境のOA化は、利便性を飛躍的に改善しつっぁりますが、セキュリティの強度を下げる弱点ともなります0 これらセキュリティの弱点となる脅威については、適切なセキュリティ対策が必要です。

オフィス環境の変化

一般的な最近のオフィス環境には、Windows対応のパソコンやその他周辺機器が多数設置されています。一昔前のオフィス環境に比べ、OA機器の導入が急増したことで、省スペース化、ペーパーレス化が進んでいます。これらオフィスの電子化あるいはOA化により、作業効率を大幅に改善した結果、データ消去による損害、盗聴や改ざんといった不正行為によるさまざまな脅威にさらされる危険のリスクが増えています。

Win95~XPまでは心配

Windows 95~XP対応のパソコンには、データを安全に保護するためのセキュリティ機能が不足しています。パソコンの起動から終了まで、利用者本人以外の人間でも簡単に操作できるという問題があります。このようなセキュリティの弱いパソコンに重要な機密情報を保存した場合、第三者の不正な操作による情報の窃盗や改ざんといった脅威にさらされます。このようなパソコンに保存するデータについては、暗号によるデータ保護や物理的な盗難防止の対策が必要です。

リムーバブルディスクの取り扱い

USBメモリ、CD、DVDなどの外部記憶装置は、企業の内部データを不正に持ち出す道具として機能します。これら外部記憶装置の取り扱いを軽視した企業では、データの持ち出しや不正なプログラムのインストールなどのさまざまな脅威にさらされます。
外部記憶装置の実装については、IT部門の管理可能な場所や時間、利用者などを限定した適用が必要です。最近は外部記憶装置の取り扱いを禁止した、シンクライアント方式のパソコンなどが注目されています。

私物パソコン持ち込みの開港

サブノートパソコンやタブレット、スマホなどの携帯情報ツールは、外部記憶装置と同じく企業の重要な資産情報を不正に持ち出すデバイスとして機能します。個人的な所有物を企業内に持ち込むのであれば、外部記憶装置と同様の使用制限が必要です。
個人の所有物を企業の敷地内に無断で持ち込むことが可能な企業では、機密情報の漏えいに対応した物理的なセキュリティ対策が必要になります。そのためにも、企業のセキュリティポリシー(セキュリティ基準)を策定し、運用基準として遵守させることが必要になります。


ルーター、スイッチングハブ

ネットワークシステムでは、ルータと呼ばれる通信装置が最も重要な働きをになっています。2つ以上の異なるネットワーク間に中継する通信機器で通信プロトコルにTCP/IPが使われるようになってから普及しました。ルータ同士を相互に接続し合うことで、大規模なネットワークが構成されています。

ルーターとネットワークシステム

ルータは、ネットワークを相互接続する通信機器です。インターネットのような巨大なネットワークでは、ルータとルータを相互接続することで大規模なネットワークを構成します。企業ネットワークの場合も同様に、ルータまたはスイッチングハブと呼ばれるネットワーク機器を多段構成で組み合わせることで、高速で大規模なネットワーク環境を構築しています。

ルータの種類と機能

ルータには、複数の通信プロトコルに対応したマルチプロトコルルータや専用線やフレームリレーなどの公衆回線網に対応したリモートアクセスルータ、ISDN回線に対応したダイヤルアップルータなどがあります。ルータの最も基本的な機能のひとつであるパケットの伝送は、パケットに書き込まれているヘッダー情報を参照することで、目的のコンピュータにデータを転送します。パケットのヘッダー情報には、ネットワーク機器のネットワークインターフェイスカード(NIC)固有のMAC アドレスとIPルーティングに必要な転送先のIPアドレスが書き込まれており、この2つのアドレスを参照することで、データの転送処理を実現しています。また、ルータには、余分な信号(ブロードキャスト)を抑制するフィルタリング効果もあります。

スイッチングハブ

スイッチングハブは、イーサネットスイッチあるいはLANスイッチとも呼ばれるネットワークケーブルを束ねる集線装置です。特定のポートにしかパケットを転送しないブリッジ機能があり、イーサネット特有のコリジョン(衝突)やトラフィック(ネットワークを流れる情報量)などを軽減した高速ネットワーク環境を実現します。


1 2