ここでは、情報セキュリティの具体化にあたってポイントとなる、物理的対策、技術的対策、人的・組織的対策のうちの技術的対策に関しての概要を紹介します。
技術的対策① 施設、オフィスの物理的対策
技術的な対策は、情報システム及びそこで蓄積・処理される電子情報に対するものが主となります。
説明の順序として、まず企業、組織で利用されている情報システムの基本的な構造を見ていきます。
この中でも特に重要と考えられ、ISO27001でも管理項目として挙げられている、A.9アクセス制御、A. 10暗号及びA.13通信のセキュリティに関してもその内容を対応させて解説します。
いわば、情報システムの構造に対する要求条件といえるでしょう。
運用のセキュリティ(A. 12)、システムの取得、開発及び保守(A.14)に関わる情報セキュリティ管理についても解説します。
これらは、情報システム及び情報のライフサイクルに対応した要求条件です。
企業ネットワークと家庭内ネットワークの違い
現在の情報システムは、分散コンピューテイングの技術をベースに作られています。
過去の、いわゆるメインフレームを利用した情報システムでは、限られたスペースに大型電子計算機が設置されたもので、実際に利用、運用するメンバも限られたものでした。
ネットワークには接続されておらず、情報のインプットやアウトプットは全て人手を介して行なわれていました。
これに対し、分散コンピューティングの技術は、さまざまな情報の処理、蓄積を複数のコンピュータに分散させ、これらのコンピュータをネットワークで接続することにより、複雑な情報処理やその共有、流通が大規模にすることを実現しました。
現在の情報システムと過去のものとの決定的な違いは、インターネットの利用です。
インターネットは、現在の情報通信インフラとしてグローバルに急拡大し、ビジネスを行なう上でも不可欠なものとなりました。
しかし、ネットワークであるが故に外部からの脅威の出入り口にもなりえるのです。
そのため、セキュリティを守るための仕組みがインターネットとの接続点に用いられています。
ファイアウォールを設置して、外部との接続を監視制御できるようにする方法があります。
これには家庭向けの接続方法と、企業や組織で一般的に行なわれている接続の方法がありますが、両者の決定的な違いはDMZの存在です。
家庭用ネットワーク
家庭用ネットワークからのインターネットへの接続に関しては、ISPが提供するDNSやメールサーバーが利用されます。
ISPに加入するとそれに対応してそのISPが保有するグローバルIPアドレスがそれぞれのユーザーに払い出され、ホームゲートウェイ(HG) との接続ポイントに付与されます。
HGから家庭内に向けては、接続される機器それぞれにプライベートIPアドレスが払い出されます。
つまりHGはIPアドレスの変換機能をもっていますがメールサーバーやDNSサーバーといった機能はもっていません。
これらは、ISPにより提供されます。
したがって、これらのサービスに対する情報セキュリティ対策は、ISPの責任で行なわれます。
また、HG配下の端末にはプライベートIPアドレスが付与されていることから、インタネット経由でこれらの端末に直接接続することはできません。
企業ネットワーク
企業ネットワークもISPを通してインターネットに接続されますが、さまざまなサービスをインターネット経由で提供するため、メールサーバーやDNSサーバー、インターネットに公開されているWebサーバーなどを自前で用意する必要があります。
そのため、一般的には複数のグローバルIPアドレスがそれぞれのサーバーに付与されます。
ここで付与されているIPアドレスは、加入しているISPが保有するグローバルIPアドレスを利用しています。
つまり、これらのサーバーはインターネットに直接接続されていることになり、インターネットを経由したさまざまな攻撃を受ける危険性があるのです。
もしこれらのサーバーが攻撃により乗っ取りなどを受けた場合、さらに内部のネットワークへの侵入を許してしまう恐れがあります。
そこで、これらのサーバー群を接続しているネットワークと、さらにその先の内部ネットワークを分離するためにファイアウォールを設置して防御が行なわれます。
この外部向けのファイアウォールと内部向けのファイアウォールで囲まれた部分がDMZになります。
ちょうど、オフィスビルなどで、外部からの訪問者が入るエリアと実際に業務を行なうエリアを部屋と入退室管理付きの扉で分離して管理するのと同じ考えです。
ビルの玄関は一般に公開され、表示なども行なわれていますが、内部の部屋には従業員や関係者しか入室できない構造になっているのと同じ考え方です。