ネットワーク管理者の方、ご意見お聞かせください。

話が長くなりますのでなるべく。かいつまんで説明します。
私の所属する企画部は別棟からダイアルアップ回線で本社につなぎウェブサーバを管理しておりましたが、本社に移転することとなったため、社内のイントラネット回線を使用してスピーディでハイレベルな管理、運用が出来ると喜んでおりました。しかし、情報システム部からはウェブサーバのようにインターネットに常時接続のマシンを社内LANに接続することはセキュリティーポリシーとしてNGと拒否されてしまいました。情報システム部は業務システムとネットワーク全般を管理しており、ネットワークの総務省的存在のため、そういわれればそれに従うまでなのですが、とてもまともな考えとは思えず、再度申請の手続きをしようと考えております。皆様はこのようなネットワーク管理をどう思いますか？ご意見をお聞かせください。

No.6 ベストアンサー 回答者： aki12 回答日時： 2004/12/22 19:04

ＶＬＡＮについて、参考ＵＲＬを紹介します

http://www.atmarkit.co.jp/fwin2k/network/tcpip00 …

簡単に説明すると、まず、安価ではない「VLAN機能付き」のスイッチングハブ（以下VLAN-HUB）が必要です。通常、１つの物理的配線（LANケーブルや光ファイバー等）につき、構築できるネットワークは１つですが、これを利用すると１つの物理的配線で、複数のネットワークを構築することができます。

例えば、下図のようにVLAN-HUB,A,Bをweb-sv室と企画部室に設置し、
Web-SV室～VLAN-HUB(A)～---(LANケーブル)---～VLAN-HUB(B)～企画部室

HUB-A,Bそれぞれの１番ポートを業務用ＮＷ用ポート。２番ポートをWeb系ＮＷ用ポートと設定します。
そうすると、HUB-Aの１番ポートとHUB-Bの２番ポートにつないだノード同士は通信はできません。
つまり、物理的なLANケーブルは１つでも、論理的には２つのLANケーブルがあるようなイメージになります。

この回答へのお礼

もしかすると、使える手かもしれませんので勉強します。

いろいろ、参考になるご意見をありがとうございました。

お礼日時：2004/12/24 16:51

No.5 回答者： aki12 回答日時： 2004/12/21 21:30

お仕事お疲れさまです。

技術的なセキュリティ対策基準があいまいな現在、難しいテーマだと思います。でも、だからこそ、Ｎｏ２さんのおっしゃるとおり「いかに安全で効率的なＮＷを提案するか」が重要なのではないでしょうか。つまり
・現在のＮＷをどのように変更するか。
・それによりどのようなリスクが発生するか。
・それに対する対処はどう考えているか。
を提案することが大事だと思います。

具体的には、以下の順序で考えてみてはどうでしょうか。
１．ＷｅｂサーバがＤＭＺ構造であるならＬＡＮ側ＮＷがあるはず。ＬＡＮ側ＮＷを企画部には、引けないのですか？
２．ＶＬＡＮは、業務システムＮＷと、ＷｅｂサーバＮＷ（もしくはそのＬＡＮ側ＮＷ）を論理的に分割できます。ＶＬＡＮを導入しても駄目なのですか？
３．Ｎｏ２さんのＶＰＮ等の技術でもセキュリティは確保できると思いますがそれでも駄目なのですか？

がんばってください。

この回答へのお礼

重点ポイントを分かりやすくまとめていただきありがとうございます。

1.ＬＡＮ側ＮＷを企画部のNWに接続したいのですが、それがNGということです。

2．ＶＬＡＮという言葉は始めて耳にしましたが、どういうことなのでしょうか？

3.VPNはメンテナンスのことだけを念頭に考えればそれでも良いのかもしれません。しかし、業務システムとして包括的に捕らえて考えないと長続きしないのではないかと考えます。（抽象的な表現しか出来ず、すみません。）

お礼日時：2004/12/22 09:49

No.4 回答者： net_lander 回答日時： 2004/12/21 14:12

ご回答ありがとうございます。

kuma-kuさんのおっしゃられていることが一般的なシステム管理者としてのポリシーとして至極常識的です。

＞1.現状はWebサーバは情報システム部の管轄とみなされておらず、社内LANに繋がっていない状態です。ですので、本社に移転後もダイアルアップで管理しなくてはなりません。

＞2.WebサーバはDMZにあります。

＞3．OSは同じですが、バージョンまでは定かではありません。

WebサーバがDMZにあるということですから、完全孤立状態ではないということですね！？
それなら、入り込める余地が残っていると思いますが、そのことを情報システム部に伝えることは藪蛇なりそうですね。

この回答へのお礼

ご回答ありがとうございます。

>一般的なシステム管理者としてのポリシーとして至極常識的です。

公開用のWebサーバと社内LANは繋がないのが常識ということでしょうか？私はやはりWebサーバも、業務システムとして体系的に管理するべきだと考えます。

お礼日時：2004/12/21 16:28

No.3 回答者： kuma-ku 回答日時： 2004/12/21 11:50

＞企画部の行っている業務が会社にとって余計な業務であれば私もそう思います。

しかし、業務が存在する限り、管理者はネットワークの資源を平等に提供する義務があるのではないかと考えます。

お気持ちは十分理解しております。
NW資源を平等に提供するのも当然であり、情報システム部の責務と言えます。

つまりは、この部署だからココまではOK/NGなどの揺らぎを提供する事は、結局のところ不平等になってしまい、社内システムの運用ルールがただの形式化した物になってしまいます。

また、システム構築時には、情報システム部側が各部署の業務ヒアリングを行った中で、必要な外部アクセスのシステムを提供を考える場合もありますが、システムが一部の部署に限定され、全社的なシステム(メールなど)で無い場合には、システム構築の段階から排除されるケースが多数です。

その為、例外を与えるためには、情報システム部や他部署を納得させる導入の理由と、そのシステム要件が必要になると考えます。

この回答へのお礼

>例外を与えるためには、情報システム部や他部署を納得させる導入の理由と、そのシステム要件が必要になると考えます。

参考になる意見をありがとうございます。よく理解しました。

お礼日時：2004/12/21 13:03

No.2 回答者： kuma-ku 回答日時： 2004/12/21 00:29

こんばんは

残念ながら、情報システム部の判断は、至って健全なNW管理だと思われます。
NW管理の面で言うと、余計な外部接続口を持たせないというのは、情報管理の上で至極当然の事です。

その上で、hiksonさんが必要なことは、如何に安全に外部からの接続を管理する為のNWを構築してもらうかを、提案することです。

---------------
NW等の情報が不明なので、一先ず以下の３つの方法を挙げておきます。

[1]RAS
[2]VPN
[3]SSH

どの方法も、大手企業でも採用されていますので、セキュリティに関しては保障できます。
それぞれについては、一度調べてみてください。

その上で不明な点がありましたら、何でも聞いてください。

サーバ管理だけですよね？
コストや手間を考えると、RASかVPNになるかと思います。
大きなデータのアップロードが必要な場合は、RASは除外してください。

取り急ぎ

この回答へのお礼

ご回答ありがとうございます。

>余計な外部接続口を持たせないというのは、情報管理の上で至極当然の事です。

企画部の行っている業務が会社にとって余計な業務であれば私もそう思います。しかし、業務が存在する限り、管理者はネットワークの資源を平等に提供する義務があるのではないかと考えます。

>それぞれについては、一度調べてみてください。
情報のご提供ありがとうございます。

お礼日時：2004/12/21 10:35

No.1 回答者： net_lander 回答日時： 2004/12/20 20:38

あなたの言いたいことは、分かります。

取り敢えず、次の３点について答えられる範囲でご回答ください。

１．元々別棟からWebサーバの管理の為にアクセスしていたマシンは、本社移転後に社内LANにアクセス可能なのか？
２．社内に於いて、WebサーバはDMZにあるか否か？
　（廉価なルータに付属のDMZ機能ではない）
３．WebサーバのOSと社内LANに属するマシンのOSは同じか？

この回答への補足

補足にお答えします。

1.現状はWebサーバは情報システム部の管轄とみなされておらず、社内LANに繋がっていない状態です。ですので、本社に移転後もダイアルアップで管理しなくてはなりません。

2.WebサーバはDMZにあります。

3．OSは同じですが、バージョンまでは定かではありません。

補足日時：2004/12/21 10:02