会社からのインターネットセキュリティーについて

会社のＨＰのメンテナンスをする環境を構築したいと考えています。
現在は、業務用のセキュリティー強固なネットワークが全国に展開してあるのですが、ＦＴＰも使えない環境なので、別回線でインターネットに接続しようと思います。
今、光プレミアムで接続している、光電話があるので、この光プレミアムに端末をつないでやろうと考えました。
しかしここで、セキュリティーや、今後の利便性を考えると、ただつないで使うというのは、少々問題をかんじましたので、ご相談です。

１、この接続で、ＰＣを一台だけつなぐ場合、利便性を犠牲にしない程度のセキュリティーをつけたいのですが、どのような構成にすればよいでしょうか？

２、また、将来、業務用で、情報漏洩などに徹底的に対応したネットワークとは別に、利便性を最重視した、インターネットからのアクセスやコミュニケーションなどにも便利に利用できるようなネットワークを構築していきたいと考えていますが、今のＰＣ一台の時から考慮しておくべきことは、何でしょうか。

是非、アドバイスや、参考にすべきサイトや書籍、お勧め情報や、相談先などありましたら、お願いいたします。

No.3 ベストアンサー 回答者： celtis 回答日時： 2008/02/04 13:50

良く管理されたシステムでは、次の２点が過不足無くチェックされていると思います。

・外部から持ち込まれる脅威
・内部から持ち出される資産

どちらにしても、外部と内部の接点をどのようにして管理、監視するのかがポイントになるでしょう。前回書き込んだのは情報の読み書きを可能な限り制限するやり方でした。ファイアウォールのルール作成で「すべて遮断してから、必要なものだけ通す」ように設定するのと同じようなものです。

ログ監視などでユーザーの追跡調査を行うには、それなりの投資と人材が必要になるので、思い立ってすぐに実行できるようなものではありませんね。Systemwalkerなどの企業向けシステムは大変強力ですけれども、費用がずいぶんかかるでしょう。
http://www.atmarkit.co.jp/news/200712/19/systemw …
http://www.skyseaclientview.net/product/index.html

まず、持ち出されて困るような情報資産の洗い出しと、ランク付け、アクセス管理の状況などをまとめてみてはいかがでしょうか？

この回答へのお礼

そうですね。そのあたりの規定は、今文書化して、明確に定義するために、整理しているところです。

運用面などは、今のところ実際にやってみないとわからないところもあるので、規定（ポリシー）化するところです。

ありがとうございました。

お礼日時：2008/02/07 09:34

No.2 回答者： celtis 回答日時： 2008/02/03 13:31

Webサーバは業務システムとは独立した場所にあるみたいですね。

ただ、業務システムの管理者からすれば、そのような運用はちょっとありえない考えです。無菌室にフィルター無しの水道管を取り付けるようなものでしょうか。わたしがそのような案件を相談されて、断れないような状況になったとしたら、下記の条件だけは死守したいですね。

・業務用端末との接点を無くす
FDやCDなどの記憶媒体が利用できないように、ドライブ丸ごと取り外し。USBやIrDA、シリアルポートなどはBIOSから機能停止。ネット接続用のLANポート以外のデータ送受信用ポートは、すべて使えなくする。

・LANポートの目的外使用を禁止
光プレミアム回線とその端末を結ぶケーブルを、物理的にロックして取り外しできないようにしておき、空きポートがあればそこも塞ぐ。
http://www.sanwa.co.jp/product/syohin.asp?code=S …
http://bb.watch.impress.co.jp/cda/items/9950.html

・筐体管理(端末本体内部のアクセス禁止)
BIOSロックの強制解除や記録媒体の増設などができないように、セキュリティロックやアラームなどで筐体自体を開けられないようにする。

将来、その端末を増やす場合も同様の措置をおこない、端末同士のデータ受け渡しは物理的に独立させたLAN経由のみにします。データを外部に出せないようにして、業務システムに与える影響をできるだけ低くするのが目的です。

この回答へのお礼

やはり運用規定が重要なのですよね。
でも、セキュリティーの制度を高くするためには、別の方法で、セキュリティーを保つ必要があるのかとも思っています。
正直、難しいところで、悩んでます。
セキュリティーに関しては、外部侵入はほとんど考えられないだけに、内部からの情報漏洩が一番心配でもあります。でも、利便性や作業効率も考えないと・・。
今よりはましかな・・・。
こんな場合は、どんな手立てがあるのでしょか・・・・。
正直、内部からの情報持ち出しは、ログ採取が精一杯なのですが・・・。

お礼日時：2008/02/04 12:56

No.1 回答者： Toshi0230 回答日時： 2008/02/02 14:52

非常に興味深いですが、難しいご相談ですね（＾＾；。

ご質問内容を言い換えると
「利便性とセキュリティのバランスをどう取ればよいか」
「拡張性をどう確保すればよいか」
という事だと思うのですが、これらの質問に答えるとなると現在のネットワークやサーバの構成、セキュリティポリシー、貴社の今後の展開など、色々な要素を考慮する必要があります。
回答する方も「あーすればよい」「こうすればよい」などと簡単に言えるものではないし、単一の答えがある問題でもありませんので、この手の掲示板で回答できる範囲を超えている問題だと思います。

費用がかかってしまいますが、SI系のベンダーやコンサルタントにご相談いただくのがよろしいのではないかと思います。
# もっとも、この手の問題は専門家でも難しいところがありますが……

大元の、「WWWサイトメンテナンス様環境の構築」という点については、WWWサーバがどこにあるか（社内か、社外か）によっても答えが変わってきます。
質問者さんの質問文からだとそれなりの規模のネットワークだと思いますので、おそらく専任の管理担当者がアサインされていると思います。その管理者の方にご相談いただくのがまず先決かと思います。

この回答へのお礼

ありがとうございます。
ちなみにＷＷＷサーバーは、ホームページを作成した会社とのいきさつで社外のレンタルサーバーを利用していますが、これで問題は無いじょうたいなのです。
そうですか。やはり難しいようですね。
コンサルタントに情報整理してもらうことは考えたのですが、いかんせん費用が出ませんでした。
現状では、上記ネットワーク内のＰＣから、ダイヤルアップを利用してプロバイダ接続してメンテナンスしていたのですが、いくらダイヤルアップ時に、回線を物理的にはずしても、同一ＰＣなので、問題があると考えていますが、良い案が浮かばなくて・・・苦笑

お礼日時：2008/02/04 12:46