PART2 内部からの「不正アクセス」を防ぐ「性悪説」による機密・個人情報漏えい対策 第2部(3/6 ページ)

» 2005年02月15日 09時00分 公開
[園田法子、橘田明雄、卯城大士(チェック・ポイント・ソフトウェア・テクノロジーズ),N+I NETWORK Guide]
前のページへ 1|2|3|4|5|6 次のページへ

 企業の内部ネットワークでの情報漏えいや攻撃を防ぐためには、ネットワークレベルでのセキュリティを強化することが非常に重要である。ネットワークレベルでセキュリティを徹底するうえで必要になるのが「認証」である。

 ネットワークレベルで認証を行う方法としては、認証DHCPやIEEE802.1xによる認証がある。これら認証技術を用いることで、正当なユーザーにのみネットワークアクセスを許可し、それ以外の人が社内に入り込んでコンピュータを接続して不正にアクセスするのを防ぐことが可能となる。それでは、それぞれを詳細に見ていくことにしよう。

認証DHCP

 大規模ネットワーク環境において、IPアドレスを個別のマシンにそれぞれ割り振るのは、大変な労力がかかる。また、それだけでなく、設定ミスなどを増やす原因にもなるので、あまり効果的なIPアドレス管理の手法とはいえない。さらに、IPアドレスを手動で各マシンに割り振ることは、セキュリティ的に見ても好ましいものではない。だが、DHCPサーバによって動的に割り振り、IPアドレス管理を行えば、設定作業などの簡素化を実現できるだけでなく、セキュリティ強化にもつながる。現在、大規模ネットワーク環境を持つ多くの企業や大学では、このDHCPサーバを利用してIPアドレス管理を行っている。

 しかし、DHCPサーバで割り振るIPアドレスを設定するだけでは、ネットワークに接続されたコンピュータすべてにIPアドレスを付与してしまう。これでは、悪意のある第三者がコンピュータを持ち込んでネットワークに接続した場合、簡単にIPアドレスを取得してネットワークにアクセスできてしまう。これを防ぐのが「認証DHCP」という技術だ(図4)。

図4 図4■認証DHCPの仕組み

 認証DHCPでは、DHCPサーバが実際にIPアドレスをアサインする前に認証を行い、認証を通ったマシンにのみIPアドレスを割り振る仕組みだ。これにより、無差別にIPアドレスが割り振られるのを防ぐことが可能となる。認証方法としては、ユーザーごとの認証や、MACアドレスによる認証などがある。MACアドレスによる認証を行う場合は、あらかじめMACアドレスをDHCPサーバに登録し、登録されたMACアドレスを持つコンピュータ以外にはIPアドレスをアサインしないように設定する。

 通常、企業が社員に提供するコンピュータ以外での社内ネットワークアクセスは、さまざまな点から考えても望ましいものではない。そこで、社内にあるすべてのコンピュータのMACアドレスを登録すれば、会社が保有するコンピュータ以外へIPアドレスが付与されることはない。MACアドレスの登録を手動で行う場合、登録台数が多いと管理者にとって大きな負担となる。しかし最近では、MACアドレスの登録を自動的に行う製品も出てきているので、これらを効果的に利用してセキュリティ強化を行ってほしい。

 また、認証DHCPでは、ユーザーIDとパスワードによる認証を行うことも可能である。この場合、特定のマシンではなく、コンピュータの所有者であるユーザーごとの認証になるので、企業が与えた以外のコンピュータからのアクセスも可能になる。認証DHCPにおいて、ユーザーIDとパスワードによる認証と、MACアドレスによる認証のどちらの方法を選択するかは、管理負担や企業での運用ポリシーを考慮したうえで決定してほしい。

IEEE802.1xによる認証

 「IEEE802.1x」は、ネットワーク上でユーザー認証を行うための仕様だ。無線LANを利用する際に必要な認証として注目されている技術だが、有線の環境でも利用可能である。社内にIEEE802.1xに対応しているルータやスイッチを導入している場合、コンピュータがこれらネットワーク機器に接続した際に、RADIUSなどのサーバに認証を要求し、それが通った場合のみポートを開き、ネットワークへのアクセスが可能になる(図5)。

図5 図5■IEEE802.1x認証構成

 このように、ネットワークに接続されたすべてのコンピュータにアクセスを許すのではなく、正当な権利を持つユーザーやコンピュータのみにアクセスを許可することが、内部セキュリティを維持するうえで非常に重要である。

 また、ネットワークレベルで内部セキュリティをさらに堅ろうにするためには、社内ネットワークを単一に構成するのではなく、VLANなどにより部署やワークグループごとにネットワークセグメントを細かく分割し、セグメントごとにアクセス制御を設けることも非常に重要である。社内ネットワークを必要業務ごとに分割し、IEEE802.1x認証によってアクセス制御を行えば、社員は業務で必要となるネットワークにしかアクセスできなくなる(図6)。たとえば、人事部の社員のみが人事情報にアクセスし、また開発部の人のみが開発データにアクセスできるなど、本当に必要なネットワークへのみアクセスを認めることが可能になる。

図6 図6■部署/ワークグループごとによるネットワークゾーンのセグメント化

インストールされるアプリケーションも管理する

前のページへ 1|2|3|4|5|6 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ