グローバルIPを持たないWebサーバとXML Webサービスでやりとり。注意点は？

XML Webサービスのセキュリティについて、質問させてください。

先日、社内限定で利用するXML Webサービスを作成しました。
このWebサービスは.NETで作成しています（SOAP形式）。
現在、社内のWebサーバに、このWebサービスをインストールして利用しています。
インストールしたWebサーバは、グローバルIPを持っていません。
現在、セキュリティ面の考慮は特にせずに、社外秘のデータをWebサービスの通信でやりとりしています。

ここで質問なのですが、グローバルIPを持たないWebサーバと、LAN内のクライアントとのやりとりでも、セキュリティ上でなにか特別な対策をすべきでしょうか？
（SSLを構築したりなど）
なお、Webサーバもクライアントも、インターネットには接続できる環境です。

以上、どうぞよろしくお願い致します。

No.2 回答者： wakaba2010 回答日時： 2010/02/02 20:15

Webサーバからインターネットへ出れる状態であっても、Webサーバ上のブラウザを使ってネットサーフィンを行うのは危険ですので、運用等でカバーした方が良いと思います。

そもそも、ローカルのWebサーバはインターネットへ出る必要は基本的に無いですが、Windows Update（パッチの更新）やウイルス対策ソフトのパターン更新ではインターネットへ出る必要性も出ることがあります。
それ以外の用途では、Webサーバからインターネットへアクセスしない方が安全かと思います。
（昨今はWebページを表示しただけでウイルス感染しますし、運悪くウイルスを拾うことになると・・ですね）

この回答へのお礼

＞Webサーバ上のブラウザを使ってネットサーフィンを行うのは危険
いままでこういった認識を持っていませんでしたので、ありがたいご指摘でした。
サーバにウイルス対策ソフトがインストールされていることは確認していましたが、それはあくまで保険という意識でいないと危険ですね。。
ローカルマシンと同じような扱いをしないように気をつけたいと思います。
丁寧に補足いただきまして、ありがとうございます。

お礼日時：2010/02/04 19:43

No.1 回答者： wakaba2010 回答日時： 2010/02/01 20:22

SSLについては、あくまでクライアント－サーバ間の通信を暗号化することが目的で、通信経路がオープン（インターネット経由）の場合に対策されるケースが多いです。

（例えば、通信上に平文でデータやユーザ名・パスワードが流れるケースへの対応）

ローカル環境でのサーバですので、一般的に通信の暗号化は優先すべき対応では無いです。

社外秘のデータを扱うサーバですので、グローバルIPかローカルかというより、Webシステムのセキュリティ管理として、いろいろあると思います。
思いつくことを列挙します。

・そのシステムが業務として必要無い通信の拒否（IP制限、ポート制限、認証での遮断等）
・Webやデータへのアクセスログの詳細かつ長期間記録
・ログインIDの共用禁止、パスワードの定期変更（＆巡回使用の禁止）、一定回数ログオンミス時のアカウントロックする機能
・Webサーバ及び利用端末のパッチ適用、ウイルス対策のセキュリティ対策（できるだけ日々最新）
・Webサーバの管理者画面等を一般利用者からアクセスできなくする設定対処
・Webサービスでリスクの高い脆弱性の対処（SQLインジェクション、クロスサイトスクリプティング、その他）
　→予算に余力があればWAF（Web Application Firewall）の検討
・テストサイト環境、テスト用ログオンID、不要となったログオンID等の削除
・ログオンユーザIDに対する業務上必要以上の機能の利用制限
・余力があればログの定期的監査（不振なログイン失敗のログ、早朝や夜間の時間外の不振なアクセスなど）

他にもいろいろ出ると思います。

まぁ、そもそも、利用者が端末から情報を持ち出すことを阻止するような対策も必要かと思いますが。

この回答へのお礼

詳細に事例を挙げて頂き、大変に参考になりました！
挙げて頂いた事例を一つ一つ検討してみます。

＞ローカル環境でのサーバ
ブラウザ等でインターネットのサイトにアクセスができるWebサーバでも、
グローバルIPを持っていない場合、やはり「ローカル環境でのサーバ」として扱われるのですね。
通信の暗号化などの対策はひとまず棚上げできそうです。

ご回答ありがとうございました。

お礼日時：2010/02/02 17:20