技術的対策 アーキテクチャ② 企業内ネットワークの構成

ここでは詳しく、企業内ネットワークの構成を見ていきます。

標準的な企業ネットワーク

インターネットとの接続点にはDMZが置かれ、インターネットに直接公開されるサーバー群が置かれます。

プロキシサーバーは内部の端末からインターネットに接続するための接続処理を行ない、グローバルIPアドレスと端末個々に割り当てられたプライベートIPアドレスの変換もここで行ないます。

メールサーバー、Webサーバー、DNSサバーに対する外部からの攻撃に対応した対策としては、IDS/IPSの適用、ファイアウォールの適切な設定、メールサーバー、Webサーバー、DNSサーバーなどに対するセキュリティ管理、Webサーバーに対するWAFの導入などが考えられます。

Webサーバーの改ざん防止、各サーバーに対する脆弱性管理なども必要です。

これらは、DMZに置かれているそれぞれのサーバーに実装されている機能に対応して配備する必要があります。

DMZの先には一般的な業務を行なう、いわゆるオフィス系のネットワークがファイアウォールを挟んで構成されています。

ここでは、社員や関係会社社員などがPCを利用して業務を行なっています。

業務に必要なプリンターなどの印刷機器やファイル共有のためのファイルサーバーなどの周辺機器、またこのネットワークや周辺機器へのアクセスを制御するための認証サーバーやディレクトリサーバーなどが設置されています。

この環境ではほとんどのケースが、DMZ経由でのメール送受信や、インターネット上の公開されたWebサーバーへのアクセスが許容されていますので、各端末へのマルウェア対策ソフトの導入、OSやアブ.リケーションに対するパッチ管理、パーソナルファイアウォールの設定といったセキュリティ対策が必須になります。

これをエンドポイントセキュリティと呼びます。

エンドポイントセキュリティには、端末のディスクの暗号化や、可搬型電子媒体(USB、DVD、スマートフォンなど)とPCとの接続制御なども含まれます。

端末の運用性能の向上だけでなくセキュリティ対策の一環としても仮想デスクトップの導入も進んでいますが、やはりエンドポイントセキュリティは必要になります。

OA系ネットワークより重要な情報の蓄積・処理を行なう内部システムとして情報処理/基幹系システムが存在します。

これはさまざまな要求条件に対応して企業や組織の業務に応じてた構成がとられます。

代表例の一つはeコマースやインタネット経由での顧客管理などのためにDMZに置かれている公開Webシステムのバックヤードにあるデータベースシステムがあります。

このデータベースには、顧客情報、課金のための各種情報など極めて重要な情報が保持されています。

したがって、DMZのWebサーバーとはファイアウォールで分離して管理する必要がありますが、同時にOA系のネットワークとの間もファイアウォールで分離し、容易に一般の社内ユーザーからもアクセスできない状態で管理する必要があります。

また、金融機関などでは機関相互での決済処理などが行なわれています。

極めて厳しいセキュリティが要求されることから、専用線を用いて完全に閉域ネットワークを構成して行なわれていますが、この処理を行なう情報システムもOA系ネットワークやDMZなどからは分離して設置される必要があります。

場合によってはこれらのネットワークと物理的に切り離して管理されることもあります。

このような情報システムに対するセキュリティは物理的なアクセスの制限例えば厳しい入退室管理と監視などから情報システムへの厳しいアクセス制御、あるいは保管情報の暗号化、アクセスログなどの収集と定期的な監査などが求められます。

また、可用性を保証するための重要情報のバックアップや事業継続性のためのBCPに対応したシステムバックアップも考盧する必要があります。


一般的な情報システムのアーキテクチャとその情報セキュリティについて見てきました。

ISMSから見た情報セキュリティ管理としてはまずISO/IEC 27001 A.13通信のセキュリティが挙げら、A.13.1ネットワークセキュリティ管理と、A.13.2情報の転送に関わるセキュリティの二つに分かれてまとめられています。

ネットワークセキュリティ管理は主に、レイヤー3までのネットワクの接続、管理に関わる要件が示されており、この中には通信にあたっての暗号化、通信キャリアやISPなどの外部ネットワークとのセキュリティ上の契約関係の明確化、情報資産に対応したネットワークの分離などが挙げられています。

情報の転送に関しては、情報システム上で扱われる情報そのものの転送管理に必要な要件が管理目的と管理策としてまとめられています。

ただし、これらはあくまで一般的な指針であり、実際にはそれぞれの企業、組織で必要となる情報セキュリティ対策を構築していく必要があります。

関連記事

技術的対策 アーキテクチャ① 基本的な構造を知るためにネットワークの違いを知る

技術的対策 アクセス制御と暗号化① アクセス制御の管理策

技術的対策 アクセス制御と暗号化② アクセス制御の実装

技術的対策 アクセス制御と暗号化③ 情報の暗号化

シェアする

  • このエントリーをはてなブックマークに追加

フォローする