II-20-8. ネットワークセキュリティ要件の分析

サーバのセキュリティ要件、クライアントのセキュリティ要件、ネットワークセキュリティ要件といったそれぞれのケースに関して、実際のケースを想定し、具体的なセキュリティの問題と対応策をまとめる。

【学習の要点】

* 重要なリソースを保護するためには、サーバ、クライアント、ネットワークそれぞれが適切なセキュリティ要件を満たしている必要がある。クライアントはセキュリティを確保するのが最も難しく、これによる被害が昨今多く報告されている。

* セキュリティと利便性は背反する二つの概念である。サーバ、クライアント間が接続する場合には、それぞれがデータ保護に対して必要十分な配慮がなされている必要がある。このことは、不要なサービスの徹底排除、適切なテクノロジーによる利便性の確保を大前提とする。

図II-20-8. クライアントのセキュリティ

 

【解説】

1) サーバ、ネットワーク、クライアントのセキュリティ

* サーバやネットワークのセキュリティについては、II-20-1~7にて述べた。システム全体のセキュリティは、サーバやネットワークのセキュリティ確保だけでは不十分である。サーバへ接続するクライアントもセキュリティを正しく確保する必要がある。

* Webシステムにおいては、サーバプログラムの不備によりクライアントが被害を受ける場合が多い(XSSなど)。このような場合も、クライアント側で適切なセキュリティ対策をしていれば防ぐことできる。

2) クライアントのセキュリティ対策

* サーバの場合と同様に、クライアントの場合も不要なサービスやアプリケーションの存在によって、セキュリティホールを生むことが多い。最近では、企業のクライアント端末に、社員が追加でソフトウェアをインストールできないような対策が施されていることが多くなってきている。

* クライアント端末からインターネットへの接続を、ファイアウォールによって遮断するようなセキュリティポリシーが定義されることがある。

* ノートPCを社外に持ちだすワークフローを持つ企業では、社員へのセキュリティ対策を徹底する必要がある。自宅のインターネット接続環境からウィルスを無意識に持ち込んでしまうことも多い。

* 企業のPCに接続されるリムーバルメディアの取り扱いにも注意する必要がある。ウィルスに感染した実行形式ファイルが混入する恐れは十分にあるからである。USBフラッシュメモリの接続を禁止している企業も多いだろう。

* 持ち込んだノートPCを企業のネットワークに接続する前に、検疫ネットワークに一度接続するのも良いアイデアである。

* クライアントPCは多くの場合Windows OSがインストールされている。利用者の多いOSではウィルスに感染する恐れが多い反面、パターン化されているウィルスなどを検出するには検疫ネットワークやアンチウィルスソフトを利用する効果は高い。

3) セキュリティと利便性

* セキュリティと利便性は背反する概念だと考えられることがある。セキュリティを厳しくすればするほど、利用者の利便性は損なわれてしまう。逆に利便性を追求するあまり、セキュリティ意識を低下させることも大きな問題である。

* セキュリティと利便性、業務の効率性を十分に考慮したセキュリティポリシーの定義が必要である。

* 社員に対するセキュリティ教育、採用する技術とその意義の理解促進は企業のセキュリティを守る上で非常に重要である。

OSS Course Naviのコンテンツは IPA OSS モデルカリキュラムを基としています。