9.2.3 ネットワーク構成

侵入者に内部ネットワークに何らかの手段で侵入されるとセキュリティは危機に 瀕します。しかしながら、全くアクセスを許さないネットワークはあり得ないの で、ある程度のアクセスは想定しなければなりません。 従って、内部ネット自体に何らかの階層分化を施しておく必要がありますが、 そうした仕組みをどう提供するかが 問題になります。最低、スイッチドネットワークを整備し、VLANなどを用いて ネットワークセグメント毎のセキュリティレベルを設定することは必要です。 しかしながら、それ以上の階層分化に関してはまだ一般的な手法は存在しません。 ネットワーク機器のベンダーによっては、VLANと認証が協調動作を行うような 仕組みもありますが、ベンダーに 依存するので、いささか考える所です。ベンダーに依存せずに利用できる手段 としては、PPPoEを使う方法があります。これは、一般の情報回線にはDHCPなどでの アクセス方法のみを与えますが、実際の通信はファイアーウォールで全て止めて おきます。但し、PPPoEだけは通しておくことで、実際には認証に通ったもの だけにアクセスを許可することが出来ます。

こうした通常のネットワークの構成のみならず、注意しなければならない問題として、 バックドアがあります。バックドアとは、裏口の意味で、例えば電話などを介した 別の入り口があると、そこがセキュリティホールになる可能性があります。こうした 裏口はユーザがWindowsをRAS(Remote Access Server)にし、電話回線や携帯又はPHS などに接続させているだけで出来てしまいます。このような裏口は、侵入者に見つかる と、管理者やそのマシンのユーザに気づかれないように潜伏し利用されているので 注意が必要です。また、同じように無線LANは近年手軽に利用されるようになり ましたが、無線LANのセキュリティは非常に低いので要注意です。WEPなどの暗号化は 当然ですが、一方では秘密鍵方式ですので鍵が知られれば筒抜けになります。 特に、開放区画の無線LANはしっかりした方針を立てて設置する必要があります。 PPPoEをデフォルトにするか、SSHなどを使わないとアクセス出来ないようにする などの処置が必要でしょう。

いずれにせよ、セキュリティはネットワークの設計時から考えておく必要があります。 そして、セキュリティは基本的には利便性と二律背反の関係にあり、両方を求める とコストに跳ね返るという性質を持っているので、どのようなセキュリティがそこで 必要とされるかを良く勘案した上でネットワークを構成しなければなりません。 また、企業などでは担当者が専門家でないために業者に頼る傾向がとかく見られます が、実は業者自体が専門家でない場合もあるのです。実際、セキュリティをきちんと 考えるならば、社会工学的な問題として扱い、その上で現実のネットワークのレベル にまで落として来なければなりませんが、技術レベルだけの問題として扱うとコストや 利便性に大きく跳ね返る結果となります。あくまでも自分達の安全は自分達で確保する というのが基本であることを忘れてはいけません。



Noriyo Kanayama