本連載では、ネットワークセキュリティを確保するための技術を紹介してきた。今回は、企業で使われているさまざまなセキュリティ製品のうち、ゲートウェイセキュリティ製品と、ウイルス対策/ファイアウォールソフトウェアについて見てみよう。
社内ネットワークのセキュリティ機器
この10年ほどの間に、コンピュータシステムとネットワークがビジネスの基盤となり、会社内だけでなく、外部ともインターネットを通じて情報が交換されるようになった。そこで、ネットワークのセキュリティ、すなわち可用性・信頼性・機密性・完全生を維持・向上することの重要性が高まっている。
このような状況の下、会社のネットワークにはさまざまなセキュリティ製品が導入され、外部からの攻撃や不正なアクセスを阻止したり、内部からの情報漏えいなどを防止したりしている。セキュリティ製品は年々その種類が増えているので、ここでは、企業ネットワーク内の設置場所に着目して整理してみる(図1)。
図1 社内ネットワークのセキュリティ製品
ゲートウェイ型セキュリティ
異なるネットワークの接続点に設置して、別のネットワークからの不正なアクセスや攻撃を防止する機器を「ゲートウェイ」と呼ぶ。ゲートウェイの役割は、リアルな世界の「門番」や「守衛」に相当する。すなわち、外部からの訪問者(データ)をチェックし、事前の約束がなかったり、挙動が不審だったりした場合は追い返す。あるいは、持ち込みを禁止された武器や危険物などを没収するといった機能を果たす。
ゲートウェイの代表格は、社内ネットワークとインターネットとの境界点に設置されるファイアウォールだ。昨今では、研究所やコンピュータセンターなど重要なデータがやり取りされるネットワークと、それ以外の一般部門のネットワークとの間にも、セキュリティ強化のためにゲートウェイを設置することがある。
クライアントセキュリティ
今から10年以上前は、フロッピーディスクやCD-ROMなどの媒体を経由して、コンピュータ間のデータ交換を行なうのが当たり前だった。ネットワークが普及した現在でも、さまざまな理由によりUSBメモリやDVDなどを利用する機会は多い。そのため、特にウイルス対策に関しては、ゲートウェイによる流入防止だけでは不十分で、個々のクライアントPCでの対策が必須だった。
最近では、対象となる個人を特定して、電子メールで暗号化されたウイルスを送りつけたり、偽装サイトに誘導するフィッシング詐欺などの攻撃が増えている。そのため、クライアントPCにもセキュリティ対策を施す必要がある。
こうしたクライアントPC用にセキュリティ対策を施す製品を、社内ネットワークの末端(エンドポイント)にある機器のセキュリティ対策という意味を込めて「エンドポイントセキュリティ」とも呼ぶ。
このジャンルの製品には、ウイルス対策ソフトや統合型セキュリティ対策ソフトのほか、セキュアな電子メールソフト、ハードディスクの暗号化ソフトなどのソフトウェア、ICカードリーダー、USBトークン※1、指紋認証装置などのハードウェア、およびそれらを組み合わせた製品など多くの種類が含まれる。
※1 USBトークン: 暗号鍵を格納するためのUSBキー(USBメモリ)と外見は似ているが、それに加えて、暗号化や署名の処理をUSB内部で実行するためのICチップを内蔵したデバイスを指す。USBキーと違って、内部に格納した秘密鍵をPCに転送しないため、安全性が格段に高い。
LAN内のセキュリティ
個人情報保護法の施行後、数々の情報漏えい事件が発生し話題になっている。そこからの導き出された教訓は、「情報漏えいは、外部からの不正アクセスより、内部からの持ち出しのほうが圧倒的に多い」である。そのため、社有PCのすべてにエンドポイントセキュリティ製品を導入して、USBメモリ等の外部媒体への書き出しを不可能にする会社も増えている。
しかし、社有PCから不正に情報を持ち出すことが不可能になっても、次にまた新たな脅威が生じる。すなわち、私物のPCをこっそりと持ち込んで社内LANに接続し、そのPCのハードディスクに対してサーバからデータを吸い上げるという手口が、実際に行なわれているのだ。
すなわち、ゲートウェイやエンドポイントでの情報漏えい対策が完了した企業では、その次に、「LANのセキュリティ製品」を設置してセキュリティ対策不正に持ち込まれたPCをLANへ接続することを防止している。このため、「認証スイッチ」による検疫ネットワークや「不正PC検知アプライアンス」などの専用機器が使われる。
また、最近ではネットワーク管理ソフトとインテリジェントスイッチ※2と組み合わせで不正PCの検知・接続防止を実現するソリューションもある。
※2 インテリジェントスイッチ: ネットワーク機器の集中管理・集中制御を行うためのプロトコル、SNMP(Simple Network Management Protocol)に対応する機能を持ったスイッチを指す。
セキュリティをアウトソーシングするASP
製品とは少し毛色が異なるが、セキュリティ対策の機能を外部の業者にアウトソーシングする「セキュリティASP」というサービスもある。これには、IT技術の専門家の少ないユーザー企業にとって、運用に人手を割きたくないという要望に応えるものだ。ネットワークの上流側で攻撃や脅威を削減することで自社設備の負荷を減らす、といった効果がある。
実際に提供されているサービスには、電子メールとデータ交換に関するものが多い。電子メールでは、ウイルス対策、迷惑メールフィルタ、メールアーカイブといった機能が提供される。
(次ページ、「ゲートウェイセキュリティとは?」に続く)
この連載の記事
-
第11回
TECH
正規のユーザーやPCを判断する認証製品 -
第9回
TECH
検疫からシンクライアントまで!情報漏えいを防ぐ製品 -
第8回
TECH
ITでどこまで実現する?情報漏えい対策の基礎 -
第7回
TECH
インターネットで構築するVPNの仕組み -
第6回
TECH
通信サービスを安価にしたVPNの秘密 -
第5回
TECH
メールソフトのセキュリティとメールの認証 -
第4回
TECH
メールが抱える根本的な弱点とスパム対策 -
第3回
TECH
拡がるWebの脅威と対策を理解しよう -
第2回
TECH
巧妙化する不正プログラムを防ぐには? -
第1回
TECH
不正アクセスを防ぐファイアウォールの仕組み - この連載の一覧へ
