ガイドブック A4.indd

Transcription

1 報通信技術の活用による(2) セキュリティの確保の向上. ポイント 外部からのアクセスは許された人のみが可能 セキュリティポリシーに応じてテレワーカーが使用する端末の種類を選 択する アクセスしてくる端末の状態を確認する テレワーク環境を実現するには インターネットなどの公衆回線への接続によってオ フィス以外の場所から会社のネットワークへのアクセスを可能にする必要があります その際には 不正アクセスやコンピュータウイルス等の不正プログラムなどの脅威に対 しての対策が重要となります 平成 18 年 4 月に総務省から発表された テレワークセキュリティガイドライン ( 第 2 版 ) には 情報セキュリティ対策を行うにあたり 企業などの組織が重要視すべきこと は 情報資産を洗い出し どのような脅威や脆弱性 リスクがあるのか十分に把握 認 識した上で 体系的な対策を実施すること とされており ルール 人 技術 と いう 3 つの情報セキュリティ対策をバランスよく保つことが示されています ここではテレワーク環境において検討すべきセキュリティ対策を説明します 図表 -2 テレワーク環境で実施すべき対策一覧 分 類 対策方法 内 容 不正アクセス対策 ファイアーウォール導入 社内ネットワークと外部との境界を設定 不正アクセス対策 * IPS / IDS 導入 不正アクセスの進入検知もしくは排除 不正アクセス対策 許可された者が外部から社内ネットワークにア デ ー タ 盗 聴 VPN 等導入 クセスする際の認証および通信経路上でのデー 改ざんの防止 タの暗号化 端 末 管 理 ウィルス対策ソフト コンピュータウイルスの感染防止 駆除 被害 情報漏えい対策 ウェアの導入 拡大の防御 テレワーク環境 情端末管理情報漏えい対策 シンクライアントなどの端末の種類検討 端末操作制御ソフトウェアの導入 端末へのデータ保存や USB デバイスなどの外部記憶媒体への書き出しを制限 アクセスしてくる端末のセキュリティレベルの端末管理検疫システムの導入維持 * IPS : Intrusion Prevention System( 侵入防止システム ) IDS : Intrusion Detection System( 侵入検知システム ) 69

2 図表 -2 はテレワーク環境で有効なセキュリティ対策の一覧です ウィルスの感染や不 正アクセス 情報漏洩などに対する主な情報セキュリティ対策は以下のとおりです 外部からの不正アクセスへの対策 ファイアーウォールの導入 外部のネットワークから社内ネットワークへの通信を制限し部外者からのアクセスや 不正な種類の通信を排除し 社内ネットワークの情報資産を守ります 不正アクセスの検知 排除 IPS IDS IPS IDS は不正アクセスを検知した場合には警告 排除なども行います ファイアー ウォールを悪意をもって突破してきた通信などを検知することにより安全性を高めます ご参考 ファイアーウォールと IDS/IPS との違い ファイアーウォール あらかじめ設定された通信を許可 遮断するといったポリシーに沿った 動作を行う装置 従って 許可された通信が正しい 悪いといった判断は行いませ ん たとえば ある通信が脆弱性を狙った攻撃であったとしても 許可された通信 であれば ファイアーウォールでは防ぐことはできません IDS/IPS ファイアーウォールにより許可された通信が正しいかどうかの判定を行う装置 IDS/IPS はファイアーウォールで許可された通信の監視を行い 通信の不正な動き を監視し 検知 遮断します ファイアーウォールなどのための通信である HTTP プロトコルの通過を許可していますが 同じ HTTP 通信でも POST メッソドでの Web ページを書き換えるための通信やネットワー ク内の機器やサーバーを遠隔で操作するための TELNET 通信の通過を許可しないという制御 をファイアーウォールで行っています さらに IPS ではファイアーウォールを通過してきた HTTP 通信の中で脆弱性を狙う悪意のある通信を監視し 発見した場合には警告 排除などを 行うように動作しています Permit は通過許可 Deny は通過不可を意味します 0

3 アクセス可能な者のみに接続を許す認証の実現 VPN 装置の導入 インターネットなどの公衆回線を経由した接続の可否を認証する機能を有します テ レワーカーが接続する際には VPN のクライアントソフトウエアを使用して VPN 装置に アクセスし ユーザ ID パスワードなどを入力して認証を受ける IPSec 方式と クライ ７ 情報通信の活用による アントソフトウエアを使用せずにインターネットブラウザの特定のページにて認証を受 ける SSL VPN 方式などがあります アクセス可能な者のみに接続を許す認証の実現 VPN 装置の導入 IPsec による暗号化 インターネットなどの公衆回線を経由した接続の可否を認証する機能を有します テ 一般的には 拠点間 本社と支社等 を公衆網 インターネット 等で接続する際に使 レワーカーが接続する際には VPN のクライアントソフトウエアを使用して VPN 装置にア 用します 製品としては専用機もありますが ルータ ファイアーウォール等に実装さ クセスし ユーザ ID パスワードなどを入力して認証を受ける IPSec 方式と クライ れているケースもあります また 端末 PC を使用して社内ネットワークに接続を行 アントソフトウエアを使用せずにインターネットブラウザの特定のページにて認証を う場合には のクライアントソフトを使用することで接続が可能となります 受ける SSLIPsec VPN 方式などがあります 図表 -3 IPSec による暗号化 IPsec による暗号化 一般的には 拠点間 本社と支社等 を公衆網 インターネット 等で接続する際に使用します 製品としては専用機もありますが ルータ ファイアーウォール等に実装されているケースもありま す また 端末 PC を使用して社内ネットワークに接続を行う場合には IPsec のクライアントソフトを 使用することで接続が可能となります 図表 -3 IPSec による暗号化 SSL による暗号化 きないようにするなどの注意が必要です 図表 -4 SSL VPN での暗号化 図表 -4 SSL VPN での暗号化 SSL VPN SSL VPN装置 端末 Webサーバ インターネット 第三者がのぞいても 暗号化 されているため データをみる ことはできません SSL Secure Socket Layer は一般的にはクライアント Web サーバー間で使用され る暗号化方式で 接続の確立から切断までのセッションごとに暗号化を可能とします クライアント側は専用ソフトウェアは使用せず ブラウザ IE Firefox 等 を使用する ことで接続が可能となります この方式では端末にあらかじめソフトウェアをインストー ルしておく必要がないため ホテルのビジネスセンタに備え付けのパソコンなど不特定 SSL による暗号化 SSL Secure Socket Layer は一般的にはクライアント Web サーバー間で使用される暗号化方 の端末からのアクセスを可能にします ただし この方式を使用する際には個人情報な 式で 接続の確立から切断までのセッションごとに暗号化を可能とします クライアント側は専用ソ フトウェアは使用せず ブラウザ IE Firefox 等 を使用することで接続が可能となります この方式 どの重要なデータの漏洩を防ぐために データを端末に残さないような制御をサーバー では端末にあらかじめソフトウェアをインストールしておく必要がないため ホテルのビジネスセンタ に備え付けのパソコンなど不特定の端末からのアクセスを可能にします ただし この方式を使用 側で行ったり この方式でのアクセスでは個人情報などの重要データにはアクセスでき する際には個人情報などの重要なデータの漏洩を防ぐために データを端末に残さないような制 ないようにするなどの注意が必要です 御をサーバー側で行ったり この方式でのアクセスでは個人情報などの重要データにはアクセスで

4 ７ 情報通信の活用による インターネットなどの公衆回線上を流れるデータの盗聴 改ざん対策 VPN 装置の導入 公衆回線上を流れるデータを暗号化して通信を行います 基本的には認証を行う装置 インターネットなどの公衆回線上を流れるデータの盗聴 改ざん対策 VPN 装置の導入 にて 認証と暗号化と双方の機能を実現しています 公衆回線上を流れるデータを暗号化して通信を行います 基本的には３の認証を行う 装置にて認証と暗号化と双方の機能を実現しています 接続端末管理 ウィルス対策ソフトウェアの導入 コンピュータウイルスの感染を予防するためには ウィルス対策ソフトウェアの導入が 接続端末管理 ウィルス対策ソフトウェアの導入 必要です 一般的には サーバーや端末等にインストールして使用します 対策ソフト コンピュータウイルスの感染を予防するためには ウィルス対策ソフトウェアの導入 では パターンファイルによる検知を行い 除去を行います ただし パターンファイ が必要です 一般的には サーバーや端末等にインストールして使用します 対策ソフ ルだけでは ゼロデイアタック と呼ばれる未知のウィルスへの対応ができないため ウィ トでは パターンファイルによる検知を行い 除去を行います ただし パターンファ ルスの行動パターン 振る舞い より検知する製品も提供されています このようなウィ イルだけでは ゼロデイアタック と呼ばれる未知のウィルスへの対応ができないため ルス対策はソフトウェアを導入するだけではなく ソフトウェアや OS のバージョンを常 ウィルスの行動パターン 振る舞い より検知する製品も提供されています このよう に安心な最新のものにしておく必要があります なウィルス対策はソフトウェアを導入するだけではなく ソフトウェアや OS のバー ジョンを常に安心な最新のものにしておく必要があります 図表 -5 セキュリティの脅威に対する解決策 図表 -5 セキュリティの脅威に対する解決策 ファイアウ ール IPS/IDS 既知のウィルス / ワームの感染防止 ウィルス対策 ソフト ウエア 未知のウィルス / ワームの感染防止 振る舞い検知 ソフトウエア ウィルス感染済みファイルのスキャン / 検出 / クリーンアップ ウィルス / ワームの認識 未知のウィルス攻撃の防御 ネットワーク攻撃の防御 不正侵入 妨害アクセス等 ネットワークリクエスト受信 / 送信のコントロール 大容量スマートメディアの書き込み / 読み込み / 実行コントロール 任意P2Pアプリケーションのインストール / 実行 任意レジストリ / 重要ファイルの改竄検出 エンドユーザの操作による情報漏えい(データ損失)防止 機密データ検出のためのコンテンツスキャン機能 端末からの情報漏えい対策 PC 機能制御ソフトウェア シンクライアントシステム 端末からの情報漏えい対策 PC 機能制御ソフトウェア シンクライアントシステムの導入 の導入 社外に持ち出した端末に格納された個人情報などが ファイル共有ソフトなどで流出 社外に持ち出した端末に格納された個人情報などが ファイル共有ソフトなどで流出 する事件が発生し問題となっています その対策として する事件が発生し問題となっています その対策としてPC PC端末に企業の重要情報をダウ 端末に企業の重要情報をダ ンロードや保存をさせず USB などの外部記憶デバイスにデータが書き出せないように ウンロードや保存をさせず USB などの外部記憶デバイスにデータが書き出せないよう 制御する方法などがあります また シンクライアントシステムを活用して画面情報の に制御する方法などがあります また シンクライアントシステムを活用して画面情報 みを端末に送り データの実体は社内ネットワーク内にとどめることもセキュリティ対 - 2 2

5 報通信技術の活用によるPC 端末上に仮想デスクトップ環境を構築してシンクライアの向上策として有効です 他には. ント化することにより PC を使いながらシンクライアントと同等のセキュリティを実現 する技術などもあります PC やシンクライアントなどの端末の選択は テレワーカーの 勤務形態やセキュリティに対する考え方などの利便性と安全性のバランスを考慮して行 う必要があります 図表 -6 テレワーク用端末比較 端末の種類特徴用途注意事項 専用端末によるシンクライアント データやアプリケーションは社内のサーバーにあり専用クライアントから情報を閲覧する ファイルの書き換えなどの作業はサーバー上で行う 管理者は端末毎のメンテナンスが不要であり ユーザはこれまでと同様の感覚で個々のデスクトップ環境を利用できる 専用端末を使用するため不特定多数のユーザが利用するサテライトオフィスや在宅勤務者など社外の特定の場所で勤務する人間に適している また 情報漏えい対策としてはもっとも強固となるため 情報の取り扱いを徹底したい場合にも効果的である 新規での導入が必要 データ アプリケーションはサーバー上にあるため ネットワーク接続ができないときには作業ができない 1 PC によるシンクライアント ( 仮想デスクトップ型 画面転送型 ) 社内ネットワークへの接続時に PC 上にシンクライアント環境を作りそこで作業を行う アプリケーションは端末にインストールされたものを使うため ネットワーク接続がない状態で作業を行い その結果をサーバーに反映させることができ る 画面転送型はすべて のアプリケーション データをサーバー側で管理し クライアント PC をサーバー遠隔操作用端末として使用する 通常の PC を使用してアクセスを行うためモバイル勤務への対応がし易い 顧客ファイルを扱うユーザなどに適している また PC を使用し 情報を残さないため不特定の端末 ( ホテルのビジネスセンターの設置端末など ) からの安全なアクセスが可能 ( 画面転送型では端末側にクライアント機能の設定が必要 ) 画面転送型ではサーバーが集約できるためシンクライアントサーバーを管理しサービスとしてシンクライアント接続を提供する ASP 型も使われている 既存の端末の利用が可能 PC 上に仮想端末を構築するためアプリケーションによってはパフォーマンスの低下が懸念される また 画面転送型ではサーバー負荷が高くなることがあるため作業内容に注意が必要 テレワーク環境 情P C によるフルアクセス 遠隔地からのアクセスであっても社内ネットワークに接続しているのとまったく変わらない接続が可能 社外で様々な業務をこなすモバイルワーカーに適す 自分の端末を持ち歩きそれを遠隔地から接続することにより場所にとらわれずオフィスにいるのと同じクオリティの仕事が可能 端末内にアクセス権のあるすべての情報を取得することも可能であるため 使用者の意識向上もしくは社内システム側でリスクの高い情報はダウンロードさせないなどの対策が必要 3