TOP
>
サーバ構築・運用
> 企業ネットワークのVPN検疫
企業ネットワーク防御最前線〜検疫LAN/VPNでセキュリティ向上を目指せ!〜
第4回:企業ネットワークにおけるVPN検疫
著者:
NTTデータ先端技術 大西 壮輝
2007/1/12
1
2
3
4
次のページ
企業ネットワークのVPN検疫
「
第2回:日本版SOX法と企業におけるLAN検疫
」と「
第3回:企業におけるLAN検疫の実践
」にわたって、日本版SOX法対応を考えた場合に今後対処が求められるIT全般統制の様々な課題の中でLAN検疫システムソリューションが非常に多くの課題を解決するベストプラクティスであることを説明してきた。
今回は、VPN検疫における以下の点について説明する。
VPN検疫と日本版SOX法の関係
VPN検疫の代表的な手法
VPN検疫導入に関するポイント
表1:VPN検疫に関する解説ポイント
VPN検疫がなぜ必要か
セキュリティという観点から述べるとすれば、各企業がVPN環境を構築することはリスクを伴うという点を意識しなければならない。リスクとは、VPNによって組織ネットワークへの接続ポイントを公開するため、この公開ポイントを守らないと企業情報資産が意図しない第三者に渡る、もしくは利用される可能性が増すということである。
また不正アクセスだけでなく、正規の利用者による情報流出の可能性をも大きくすることにつながる。
このリスクを把握しながらも、各企業がVPN環境を整備するのはなぜであろうか。その理由としては、VPN導入により専用回線コストを削減したり、他拠点からの迅速なビジネス発展へつなげられるといった導入メリットが多分にあるからだ。
当然のごとくVPN環境を構築するとなると、より踏み込んだ、リスクを軽減するためのセキュリティ対応が必要となってくる。
図1:VPN環境の変化
従来は接続性の機能を重視していたVPN装置だが、最近では様々な認証を可能とした機器が主流となっている。このように多様な形で不正アクセスを防ぐ手段が存在するが、正規アクセス権を盗まれた場合は不正アクセス対応策として充分な効果が得られない。
さらに最近では、不正アクセスを防ぐという観点ばかりではなく、正規アクセスを防ぐことが重要になってきた。それは昨年一年を通じて世間を騒がした「Winny問題」である。
企業内のアクセス権を持った利用者は、正式な手続きで組織内情報へアクセスし、情報を利用する。中には会社資産のパソコンではなく自宅の個人パソコンからアクセスを行っている。接続そのものは、企業内ポリシーにて許可されている場合は問題とならないが、重要なことは「敵は内にあり」ということである。
1
2
3
4
次のページ
著者プロフィール
NTTデータ先端技術株式会社
EA事業本部 NOSiDEビジネスユニット 大西 壮輝
京都大学大学院情報学修了後、NTTデータに入社。基盤開発フレームワーク作成を経験。現在ではNTTデータ先端技術に出向し、パッケージ(NOSiDE Inventory SubSystem)のプロダクトマネージャーとして従事。特にセキュリティのコンサルティングやIT資産管理、LAN検疫/VPN検疫などに注力。チーフコンサルタント。
INDEX
第4回:企業ネットワークにおけるVPN検疫
企業ネットワークのVPN検疫
なぜ正規利用者からの情報流出が発生するか
VPN検疫の代表的な手法
VPN検疫導入に関するポイントおよび導入事例
