インターネットＶＰＮのセキュリティについて教えてください。

現在、会社がインターネットＶＰＮでネットワークの構築をしています。
本社のサーバーに各支店からデータを送信します。

今回システムについての説明があり、意外な発表がありました。
本社サーバーに接続できる支店のパソコンは専用パソコンとし、
他の業務には一切使ってはならない、という決まりです。

理由は、セキュリティの問題です。
ウィルスやデータ流失を恐れているようです。

しかし、専用パソコン（インターネット回線も別。社内ＬＡＮに接続も不可）となると不便なことは目に見えています。
できることなら、現在の社内ＬＡＮ環境そのままで、本社のサーバーにも接続したいのですが、そういったことは一般的ではないのでしょうか？

お聞きしたいのは、
・インターネットＶＰＮでのシステムで、セキュリティ面の不安がある場合、具体的にはどういった危険性があるのでしょうか？
・また、不安を解消するにはどんな対策がありますか？
　（サーバーとクライアントにウイルスバスターは入っています）

また、
・新しいシステムに不安を感じて、私には過剰とも思える（←一般的なのでしょうか？）対策を、利用者にとって使い勝手の良いシステムにしてもらうためには、私は何を勉強して、どのように上司に進言すればよいでしょうか。

よろしくお願いします。

No.2 ベストアンサー 回答者： jjon-com 回答日時： 2007/08/24 18:00

>インターネットＶＰＮでのシステムで、セキュリティ面の不安がある場合、具体的にはどういった危険性があるのでしょうか？

VPNでやりとりされる社外秘のデータが，インターネット回線や社内LANを介して漏洩する危険性があります。利用者が故意に漏洩に関与するものと，ウイルスによって意図せず漏洩してしまうものがあります。

>不安を解消するにはどんな対策がありますか？（サーバーとクライアントにウイルスバスターは入っています）

上記のとおり，ウイルスによるものだけでなく，利用者自身が関与した故意／過失による漏洩の危険性がありますから，隔離した専用PCを設けるのはよい対策だと思います。

>現在の社内ＬＡＮ環境そのままで、本社のサーバーにも接続したいのですが、そういったことは一般的ではないのでしょうか？

VPNデータの漏洩はさせない，という企業の強い意思がある場合は，一般的ではないと思います。

>専用パソコン（インターネット回線も別。社内ＬＡＮに接続も不可）となると不便なことは目に見えています。

すでに御社の現状として…
本社サーバからダウンロードされるデータは社内LANを通じてどのPCからでも入手でき，各PCのExcelなどにどんどん貼り付けられて，Internet Mailによって社外にも規制なく送信されている。LANから隔離された専用PCにしたところで，今後はUSBメモリを使ってばんばんコピーされるだけのことだ。
…という状況があるということでしょうか。

であるなら，このことをそのまま上司に進言すればよいと思います。上記のような「支店内の誰でもがいつでもVPNデータを取り出せる状況」でなければダメだ，というのが本当であるなら，専用PCにした時点で仕事にならなくなるわけですから。

>利用者にとって使い勝手の良いシステムにしてもらうためには、私は何を勉強して、どのように上司に進言すればよいでしょうか。

ログオンした利用者のすべての操作とファイルの移動を監視できるセキュリティシステムが，どこかのベンダから販売されていたと思います。

この回答へのお礼

１つ１つ丁寧にご回答くださりありがとうございました。
予想外の事態に少々パニックになっていましたが、丁寧なご説明にモヤモヤしていた気持ちが晴れたような気持ちです。

専用ＰＣとは本当に予想外だったので、「ありえない！」と思いましたが、そういう考えもアリだとは、自分の思い込みの激しさと認識不足に恥じ入る思いです。

実際の運用が始まっていない今の時点で具体的にどんな不便か、どんな形でデータのコピーが個人使用のＰＣで利用されるかを説明しても、セキュリティの不安には太刀打ちできそうにありませんが、専用ＰＣへ決めることになった考えを尊重しながら、もう一度考えを整理して意見を言ってみようと思います。

本当にありがとうございました。

お礼日時：2007/08/27 09:44

No.6 回答者： kozai_001 回答日時： 2007/08/25 19:57

あなたがお聞きになりたい主旨とはすこしはずれることをお許しください。

ご質問の最終的な目的は、新たに構築される本社サーバーと接続するVPNと
従来ある社内ネットワークを相互接続させたいということですね。
これを上司にに進言するにあたりどのようにすればよいかということ。

接続させない理由はセキュリティである。

本社サイドとあなたの認識にずれがあるように感じます。
本社サイドは今回構築されるネットワークのセキュリティは問題なしとしていると思われます。
むしろ従来の社内ネットワークのセキュリティが万全でない為、接続させないとしているのではないですか。
本社のサーバーに接続させるのにもともと不安のあるシステムを導入するとは思われないのですが
一度させない理由の具体例を確認してみられてはいかかがでしょう。

そうであるならば、従来の社内ネットワークのセキュリティがどのようになっているか調査することから
はじめるのが大事なのではないでしょうか。
（社内ネットワークのインターネット接続ではファイヤーウォールの導入はされているのでしょうか？）

従来の社内ネットワークをセキュアにする提案を上司にして接続する許可を求めるということが
本筋になるのではないでしょうか。

本社が要求するセキュリティポリシーはここではわからないので、確認されることです。
それに合わせて　An.4さんの紹介されたサイトが生きてくるのではないでしょうか。

この回答へのお礼

ご回答ありがとうございます。

おっしゃるとおり、私の希望は社内ネットワークとの相互接続です。
今後使用していく中で、絶対当然当たり前基本中の基本と疑ってもみなかった事です。
でも、皆さんにご回答いただき、たくさんのセキュリティを扱ったサイトを見るにつけ、今まで情報漏洩について無頓着すぎたような気がします。「誰もうちの会社の情報なんて盗む人なんかいない！」って。
あと、ちょっと利用者側のエゴも強かったと反省しています。

正直言って、私個人と同様に会社も知識不足のため、セキュリティに対して万全の対策をとっているとは思えません。
上司も具体例を言えと言われても、「ウイルスが不安」「情報漏洩が不安」と言った漠然とした答えしか返ってこないと思います。

もう、こうなるとシステム会社が頼りなのですが、従来の社内ネットワークを担当した会社と本社主導のシステムとでは、担当している会社が違うんです。そんなことも、上手くいかない理由なのでしょうか？

相互接続に関しては、ちょっと諦めの気持ちが強くなってきましたが、上司にもう一度話してみようと思います。システム会社さんの説明もできたら聞こうと思います。

ありがとうございました。

お礼日時：2007/08/27 10:22

No.5 回答者： noname#43129 回答日時： 2007/08/25 02:28

VPN製品でもこういうのがあります。

http://www.freebit.com/press/pr2007/20070322.html

https://www.netsecurity.ne.jp/10_9127.html

http://www.intellilink.co.jp/topics/docs/noside_ …

http://www.sojitz-sys.com/news/news.asp?news_id=82

ユーザー認証機能を強化したものも多く出ています。
他にももっと良い製品があるかもしれませんよ。

この回答へのお礼

ご回答ありがとうございます。

私はシステムを利用する立場で、作成する立場でないため何の権限もないのです。その分、責任もないんですが。
いろいろな選択肢があるなか、どうしてこういうシステムになったのか・・残念な気持ちもありますが、今回のことはいい勉強になったと思っています。

ありがとうございました。

お礼日時：2007/08/27 10:07

No.4 回答者： noname#43129 回答日時： 2007/08/25 01:52

ANo.3です。

下記３点は情報の漏えいを防止・追跡するためのものです。

今年から来年にかけて、イベントがあるので見てきた方がいいです。
色々便利な製品がありますよ。VPN関係でも便利なものがあったのですが
、カタログを紛失してしまいましたすいません。
Security Solution 2007
http://expo.nikkeibp.co.jp/secu-ex/2007/
NET＆COM2007（規模が大きい）
http://itpro.nikkeibp.co.jp/netcom/index.html
情報セキュリティEXPO第５回（事前にニーズに合ったものを探してくれるサービスがあります）
http://www.ist-expo.jp/

あと、持ち出すのなら「時限くん」というソフトがあります。
ファイルを時限化して、閲覧の期間・回数制限を行ってくれます。
時限くんのクライアントが入っていないと閲覧できませんし、
暗号化されているので漏洩しても解読が不可能です。
株式会社エヌ・エス・イーの「時限くん」HP
http://www.zigenkun.com/

金銭面に余裕があるなら、セキュリテイコンサルタントで
国内業界最大手のLACに相談するのも手です。
http://www.lac.co.jp/index.html
http://www.lac.co.jp/business/sns/consulting/ind …

色々知っているのでまだ探してみます。

この回答へのお礼

引き続き、ありがとうございます。

金銭的にはまったく余裕のない会社です。（恥）
システムも削りに削ったのに、専用ＰＣというのも驚愕の事実でした。ハードを接続数分買うっていうんですから！
・・すみません、まだ愚痴がでてしまいました。

システムの専門職のいない会社ですので、そういったことに時間を割くことは難しいですが、システムを依頼している会社はきっと、もっとこういう知識を持っているのだろうと確信しました。
また、こちらから要求しないと提案もしていただけないのかな、と感じました。
この機会に私ももっと勉強したいと思います。
本当にありがとうございました。

お礼日時：2007/08/27 10:01

No.3 回答者： noname#43129 回答日時： 2007/08/25 01:27

ソリトンシステムズのInfoTrace

http://www.soliton.co.jp/products/infotrace/inde …
ハミングヘッズのセキュリティプラットフォーム
http://www.hummingheads.co.jp/sep/index.html
エムオーテックスのＣＡＴシリーズ
http://www.motex.co.jp/

以上三点が有名です。

>現在の社内ＬＡＮ環境そのままで、本社のサーバーにも接続したいのです
が、そういったことは一般的ではないのでしょうか？

確かできますよ。うちの会社はきちんとできます。

この回答へのお礼

ご回答ありがとうございます。

情報漏洩対策ソフトというものの存在すら、正確に分かっていなかったため、本当に参考になりました。
社内にＰＣに詳しい人間がいないため、セキュリティ面の不安に対して「何が」「どのように」不安かを聞いても漠然とした答えしかなく、また不安を解消したくても私も具体例を上げうまく説明できませんでした。

ウィルス対策ソフトと共に、こういったソフトを正しく使うことでセキュリティ面への不安を解消する方向へ話をしてみたいと思います。

ありがとうございました。

お礼日時：2007/08/27 09:51

No.1 回答者： goold-man 回答日時： 2007/08/24 16:05

参考URLをご覧ください。

平文に対する暗号化など
http://www.atmarkit.co.jp/fsecurity/special/33vp …
http://www.atmarkit.co.jp/fsecurity/special/36vp …

参考URL：http://www.atmarkit.co.jp/fsecurity/special/33vp …

この回答へのお礼

ありがとうございました。

参考ＵＲＬをプリントアウトし、週末がんばって勉強してみましたが、私には少し難しかったです。すみません、レベル低くて。
でも、１つ１つの専門用語を調べて、少しは知識が増えたような気がします。

すぐにご回答いただけたことも、心強かったです。
ありがとうございました。

お礼日時：2007/08/27 09:31