連載
» 2004年03月17日 00時00分 公開

にわか管理者奮闘記(4):反撃開始、まずは全社的ポリシーの導入から (2/3)

[根津研介, 園田道夫, 宮本久仁男,@IT]

必要そうな対策の洗い出し

 翌日、中村君は早速緊急で必要そうな対策をまとめ始めた。さすがにここまでトラブル続きだと、いろいろな共通項が見えてくる。その共通項の根底もなんとなく見えている。もちろん根底を押さえるのと同時に、どうしてもおかしい使い方などは速やかに止めなければならない。

  • イントラネット機器接続ポリシー/機器接続申請書の作成
  • インターネット利用ポリシー/利用申請書の作成
  • イントラネット/インターネット通信量測定の仕組みの導入
  • ネットワーク構成調査と見直し、再構成作業
  • 無線LAN導入手順書(チェックリスト)の作成と現状見直し作業
  • 「ネットワーク資源浪費とネットワーク利用による潜在的リスクの回避について」(上司向け稟議資料)の作成

 とにかく問題点を並べて、共通項を洗い出してみたら一番必要そうな対策はこのような感じになった(この辺りの洗い出し方や対策方法は勉強会の受け売りだった)。調査や見直しは自分では必要だと認識していたし、やるつもりもあったのだがどんどん後回しになっていた。こういうたぐいのものは筋を通して「正規の仕事」にしてしまうべきだ、というのも、飲み会のときのアドバイスだ。

 このリストのうち、事前に調査して仕込む必要があるのが、現状の時間ごとの通信量の測定と、無許可無線LANのアクセスポイントの把握だ。早速、中村君は通信量の測定から取り掛かった。

 調べてみると、通信量測定の仕組みについては、「Sniffer」をはじめとする専用の機材を導入する方法もあるが、Windows NTがファイアウォールになっていて、社内のPCが社外と通信する場合には必ずこのマシンを経由するということもあり、Windows標準のツールNetwork Monitor*1を用いることで、大まかな社内外で発生する通信量の統計、具体的には全体の通信量や通信パケットに含まれる送信元アドレスおよび送信先アドレスをはじめとする情報が簡単に取得可能であることが分かった。

*1
もちろん、あらかじめNetwork Monitorをインストールしておく必要がある。Network Monitorに関する概略は、「Microsoft Windows 2000 TCP/IP実装の詳細」を参考にしていただきたい。


 Network Monitorを用いてモニタするネットワークインターフェイスを「社内側」に接続されているPCに設定し、そのまま放置しておけば、取りあえずの通信量は取得可能になる。このことを知った中村君は、早速ファイアウォール上でこの機能を有効にしてみた。

 意図どおりの情報が取得できることを知った中村君は、業務時間内と夜間の2つの時間帯でNetwork Monitorを稼働させてみる。結果は、予想どおりだった。社内の特定のアドレスからの通信が特に強烈に多い。そのアドレスを手繰ってみると案の定、「夜中にも電源がついていて頻繁にディスクアクセスしている」高原さんのPCだった(連載第2回参照)。

中村君 「いつも、ファイルのダウンロードばかりしているのだろうか?」

 やはり、何か怪しい。現状でそのような利用をやめさせる規則や権限は特に規定されていない。しかしながら、直感的によくない行為だろうというのは見当が付く。中村君は、この部分についても久保部長を利用することにした。

 次は無許可の無線LANアクセスポイントの探索だ。実は、これについても飲み会の時にヒントをもらっている。どうやら、アクセスポイントが常に電波を発していて、その情報を調べることでアクセスポイントの有無や位置をある程度、検出できるようなのだ。もちろん専用ハードウェアや専用ソフトウェアなどの商用製品もあるという話だが、今回は「安全な導入」などという前向きのアクションではないので、これにはあまりコストは掛けられない。そこで、「お金をあまりかけない方法」として教わったキーワードでインターネットをいろいろと調べてみると、次の4つの方法が分かった。

  1. 無線LANカードに付いているユーティリティで調べる
  2. Windows XPの無線LAN機能で調べる
  3. Network Stumblerというフリーソフトウェアで調べる
  4. Linux上でKismetというフリーソフトウェアで調べる

 しかし、それぞれに一長一短があるようだ。

使用するツール 動作OS 調べられる規格 特徴
無線LANカード付属のユーティリティ 多くはWindows 無線LANカードがサポートするすべて チャンネル使用情況やステルスESSIDも調べられる場合がある
Windows XPの無線LAN機能 Windows XP 無線LANカードがサポートするすべて ステルスESSIDのものは検出できない
Network Stumbler Windows 802.11bおよび802.11g ステルスESSIDのものは検出できないが信号強度の時間推移を調べられる
Kismet Linux Linux用ドライバがサポートするすべて 導入や環境設定が難しい
表1 無線LANアクセスポイントの調査ツールの比較表
(※ESSIDとは、IEEE802.11で定められた無線LAN機器が通信する互いを識別するIDのこと。ステルスESSIDとは、ESSIDのANY拒否およびESSIDを隠す機能をいう)

 ちょうど手元にWindows XPのインストールされたノートPCがある。どうやらNetwork Stumblerを使うのが一番効率がよさそうだ。

図1 Network StumblerのWebサイト 図1 Network StumblerのWebサイト(画像クリックで拡大)

 ただし、以下の条件があるので、「もし厳密に調べられる時間があったら対応しよう」とメモに書き留めておいて取りあえずできることから始めることにした。

  • ステルスESSIDが設定されたアクセスポイントは検出できない場合がある
  • 現状で安心して使える範囲ではどうも802.11aは検出できなさそうだ

 そこで、安心して対応できるとインターネットや書籍で特に評判の高い無線LANカードを入手してノートPCにセットし、早速、金曜の夜中にこっそりNetwork Stumblerで職場内を巡回してみる。

 小笠原さんが設置しているアクセスポイントはすぐに反応が出た(連載第2回参照)。どうもチャンネル6を使っているようだ。Network Stumblerも快調に動いているようだ。さらに、チャンネル11に何か2つ反応がある。詳細な電波強度グラフを見ながらノートPCを片手に電波がいちばん強くなる場所を探して歩く。

図2 Network Stumblerの実行結果 図2 Network Stumblerの実行結果(画像クリックで拡大)

 0090FE700B8Cと表示されている方は確かに何かが設置されているようだ。一番信号の強くなる近辺を探すとアクセスポイントと思しき一見ルータに見える機材がチカチカ光っていた。

中村君 「すっかり見逃していたなぁ。小笠原さん以外にも持ち込んでいる人がいたんだ……」

 他方、000D02034A4Aの方も同じように一番信号の強くなる場所を探してみたが、最大のときにもそれほど電波強度が強くなく、それらしい機材も何もないただの窓際で最大になる。どうやら、社内に設置されたアクセスポイントではなさそうだ。中村君は調査の結果をまとめた資料を作成した。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。