|
|
|
技術本部 SEリーダーセキュリティ プロダクト担当
小澤嘉尚氏 |
|
企業ネットワークにおける情報漏えい対策のためには、まず自社のネットワークの現状を正確に把握し、その上で、適切な対策を講じることが必要だ。ジュニパーネットワークスの「NetScreen」アプライアンス製品はネットワークの現状把握から必要な対策までの幅広いソリューションを提供。その中心となるのは、ネットワークに対する不正侵入を検知し防御するための製品「NetScreen
IDPシリーズ」とリモートアクセスでの情報漏えいを防止するSSL-VPN製品「NetScreen
Secure Accessシリーズ」だ。ジュニパーネットワークスの技術本部
SEリーダー セキュリティプロダクト担当 小澤嘉尚氏に同社の情報漏えい対策を中心としたセキュリティ戦略と、2つの製品を活用した情報漏えい対策の進め方をお聞きした。
|
|
|
NetScreen IDPシリーズ |
|
NetScreen Secure Accessシリーズ |
|
個人情報保護法の全面施行を前にして、企業ネットワークにおける情報漏えい対策が大きな課題になっている。そこでは、まず現状を正確に把握し、その上で具体的な対策を実施するステップバイステップのやり方が必要だ。そのためには、まず、ネットワークにどんなトラフィックが流れているかを知り、ネットワークの現状を正確に把握することが重要となる。
「業務のトラフィックが中心に流れていると考えていたら、業務以外の趣味のサイトへのアクセスが中心だったりすることも多いのです。最大の問題は、どのような通信が行われているのかをよく知らないネットワーク管理者が多いことです。これでは対策を立てようがありません」と小澤氏は語る。
その上で、具体的に情報漏えいを防ぐための対策を立てる。電話やFAX、郵便が主な通信手段だった時代には、情報漏えい対策もシンプルに行うことができた。しかし、クライアントPCからネットワーク経由で、メールやさまざまなアプリケーションによるコミュニケーションが行われるようになっている今、講じるべき対策も複雑化している。最大の問題はアプリケーションがさまざまな形で進化し、多様化している点にある。少し前まで情報の取得手段であったWebサイトへのアクセスが、今では大容量ファイルの送信など情報配信の手段になっている。また、もともと個人用に開発されたインスタントメッセージング(IM)も企業におけるコミュニケーションに多用されるようになっている。
「こうした新しいアプリケーションもすべて、ステップバイステップで対策を施していく必要があります。メールは業務に不可欠ですから、止めることはできません。そこで、ログの保存やフィルタリングでチェックをするわけです。同じように、Webも止めると直ちに業務に影響を及ぼすため、止めることは不可能です。そこで、HTTPでどのようなアクセスが行われているかをチェックして、不正な行為が行われていないかを確認することが必要です。また、チャットは簡単に同報ができる非常に便利なツールですが、ファイルの転送は特定の人以外は行えないようにすることも重要です」と小澤氏は説明する。
ジュニパーネットワークスは、ネットワークに特化したセキュリティベンダーとして、ネットワークの現状把握から必要な情報漏えい対策までを提供し、企業がステップバイステップでのセキュリティ対策を講じることを可能にする。
同社の侵入検知・防御ソリューションNetScreen IDPシリーズには、EPS(Enterprise Security Profiler)機能がサポートされている。これはネットワークからアプリケーションレベルで、どういうトラフィックが流れているかのデータを収集する。これによって、ネットワーク管理者は自社のネットワークのトラフィックを把握することができる。そして、トラフィックデータをプロファイルし、それに違反したプロトコルや方向性が発生した場合には、管理者に対してアラートが上がるようになっている。
さらに、2004年10月に発表した統合型ファイアウォール/IPSec VPN製品向けの「NetScreen ScreenOS 5.1」は、P2PとIMをセキュアな環境で利用できるようにし、セキュリティとユーザーの利便性向上を両立させる。P2PとIMに対するアタックからの保護と、データ、ファイル、アプリケーションの共有による情報漏えいの危険性の防止が、企業ネットワークでP2PとIM利用上の大きな課題になっていた。これに対して、ScreenOS
5.1はディープインスペクションによって、アプリケーションレベルへのアタックからの保護を実現。また、ポリシーベースでのアプリケーション管理によって、P2PとIMアプリケーションへのアクセスの際の特定のアタックパターンを拒否することが可能となっている。
|
|
|