情報漏洩をさせないネットワークの構築

Winnyなどを通じて感染する暴露ウイルスによる情報漏洩は後を絶たない。企業において情報漏洩は信頼の低下をはじめ、損害は計り知れないだけに、対策には十分な時間とコストをかけたいもの。
セキュアネットワークの基本は、必要なソフトウエアの通信だけを許可するというものだが、それだけでは不十分な可能性がある。それは、暴露ウイルスが、必要とされるソフトウエアの通信かのように振舞って(たとえば、80番ポート宛に通信をする)情報漏洩をさせる可能性があるからだ。
これを防ぐためには、(従業員が使用するパソコンを含め)基本的に信頼していないホストが外部と直接通信しないようにすれば良い。
多くの企業で推奨される通信
TCP 80, 443番ポート
Webを閲覧するためには必要不可欠なポート これはProxyサーバーを立て、Proxyサーバーからのみ外部と通信できるようフィルタリングをすればよい。なお、クライアントの設定はProxyサーバーを見るように変更する必要がある。
TCP 25, 110番ポート
SMTP, POPサーバーを内部に配置し、外部への配送は、そのサーバーを通じて行えばよい。ただ、外部からのメールを受け取れるようにするには、必然的にDMZへの配置が必要となる。
UDP 53番ポート
DNSサーバーは内部に配置し、そのサーバーが外部のDNSサーバーと通信できるようにすれば良い。なお、クライアントの設定は内部DNSサーバーを見るように変更する必要があるが、DHCPでIPアドレスを配信しているのであれば、DHCPサーバーに設定するだけでよい。
UDP 123番ポート
DNSと同様NTPサーバーは内部に配置し、そのサーバーが外部のNTPサーバーと通信できるようにすればよい。なお、クライアントの設定は内部NTPサーバーを見るように変更する必要がある。
その他のポートは基本的に拒否で良いが、たとえば、企業のWebサーバーなどがDMZ上に存在せず、レンタルサーバーなどを利用している場合には、アップロードする担当者の端末のIPアドレスを固定に設定し、そのIPアドレスからのみ通信できるようにするなどの配慮が必要と考えられる。
しかしながら、これでもなおUSBポートを使ったリムーバブルメディアからの情報漏洩や、印刷による紙媒体による漏洩、Webメールや通常のメールなどによる漏洩なども考えられ、後者への対策としては、Proxyサーバーやメールサーバーを経由するパケットを全て保存し、情報漏洩が発生した場合に究明できるようにしておかなければならない。(しかしながら現実には、これを実現するための膨大なストレージを用意する必要があり、検索可能な状態にするためのフォレンジックス製品の導入を検討しなければならないというとても頭の痛い問題がある)
しかしながら、技術的な制限だけでは(金銭的にも)限界の可能性があるので、運用面でのカバーやユーザーへの啓蒙も怠ってはならない。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です