PART2 内部からの「不正アクセス」を防ぐ：「性悪説」による機密・個人情報漏えい対策 第2部（5/6 ページ）

[園田法子、橘田明雄、卯城大士（チェック・ポイント・ソフトウェア・テクノロジーズ），N+I NETWORK Guide]

　では、そのほかのポイントを簡単に説明していこう。

内部セキュリティ専用ソリューションの導入

　最近では、企業内でのワーム感染や攻撃を防御するための内部ネットワーク専用のセキュリティソリューションが出てきた。

　内部専用ソリューションには、さまざまな機能のものがある。モバイルコンピュータを企業内の業務ネットワークに接続する前に、マシンの状態をチェックする検疫機能を提供する製品や、内部ネットワークのセグメントごとに設置してワームや攻撃を検知する製品がそれだ。さらに、ネットワークのセグメント化や疑わしいコンピュータの隔離や、ワームや攻撃の防御などの機能を包括的に提供する製品などもある。現在のネットワーク環境にこれら内部専用ソリューションを導入すれば、さらに安全に内部ネットワークを保護することが可能になる（図9）。

図9■内部専用セキュリティソリューションの導入

コンテンツフィルタリングシステム

　社内でURLフィルタリングなどのコンテンツフィルタリングシステムを導入すれば、管理者は社員がアクセスできるWebサイトを制限することが可能となる。

　もし社員が、認められているWebサイト以外にアクセスしようとしても閲覧することはできず、社員のWebブラウザ上には「そのWebサイトにはアクセスできません」などのメッセージが表示される。管理者は、どの社員が、どこのWebサイトにアクセスしようとしたかをログに残して管理することも可能だ。

　このシステムを導入することの利点は、社員の不要なネットワークアクセスを禁止することで、危険なプログラムのダウンロードやワームの感染を防げるところにある。また社員は、自分のインターネットアクセスが監視されていることを認識すれば、みずから不用意なアクセスを控えるようになるという効果もある（図10）。

図10■URLコンテンツフィルタリングシステム

無線LANのセキュリティはAPの設定と暗号化技術

　最後に、無線LAN使用時における内部セキュリティの注意点をまとめてみる。

　54Mbpsの通信速度を実現するIEEE802. 11gという高速な無線LAN規格が登場し、今後ますます導入が進むと思われる無線LANに関しては、有線LAN以上に厳重にセキュリティを施す必要がある。無線LANは当初、ケーブルでコンピュータを接続しなくても、社内のどこからでもネットワークに接続できるという便利さから急速に普及したが、セキュリティについてはあまり考慮されていなかったといえる。とはいえ、最近になって、無線LANを利用するうえでのさまざまな問題点に対する改善策が次々と発表され、ビジネスにおいても安全に無線LANを利用できる環境が整いつつある。

　そもそも無線LANが危険な理由は、「ケーブル（線）」接続ではなく「電波」による通信を行う点にある。無線LANの場合、電波が届く範囲であれば通信を行えてしまう。実際に無線LANを利用した多くの人が、自分の企業ネットワーク以外の無線LANネットワークにアクセスができサーバなどが見えてしまったといったような経験をしているのではないだろうか。無線LANの場合、通信を行う際に実際に企業内にいる必要はなく、電波が届く範囲であれば建物の外からもアクセスすることができてしまう（図11）。

図11■無線LANの危険性

　ただしこれは、無線LAN接続を受けつけるアクセスポイント（AP）において何もセキュリティを設定していない場合だ。APで十分なセキュリティを設定すれば、電波の届く範囲にかかわらず、正しいユーザーにのみネットワークアクセスを認めることが可能になる。

　無線LANにおいてまず重要なのは、APにおいて「ESSID（Extended Service Set IDentifier） ステルス」を使用することだ。ESSIDとは、無線LANにおいてネットワークを識別する仕組みである。APで設定したのと同じESSIDをクライアントに設定すれば、そのクライアントは該当のAPに接続することが可能になる。だが、APには、このESSIDを定期的に発信するビーコン信号という通知機能がついており、この通知機能を有効にしていると、クライアントはAPに設定されているESSIDを取得しアクセスできてしまう。しかし、ESSIDステルスを使用すれば、APがESSIDを周囲に通知するビーコン信号を停止できるので、社内にあるAPのESSIDを知らないユーザーはAPに接続することができなくなるというわけだ。