もう一度考えたい、企業内ネットワークの「維持」のためにすべきことビジネスインフラを狙う攻撃にどう対応するか(1)(2/2 ページ)

» 2018年09月25日 05時00分 公開
[宮田健@IT]
前のページへ 1|2       

忘れてはならない「認証」機能の維持

 DNSやDHCPと並んで、もう一つ注意しなければならないのが「認証」だ。

 過去の社内ネットワークであれば、デスクが並ぶ「島」にスイッチングハブを据え付け、従業員のデスクトップPCとイーサネットケーブルでつないで、ネットワークを構成していただろう。このようなオフィスではスイッチングハブのうち、利用していないポートを物理的にふさぐことも対策の1つだっただろう。これは性善説に頼っており、悪意があればケーブルを差し替えて、管理外のPCを接続することもできた。

 現在では無線LANが本格導入され、全ての機器がケーブルレスでつながるというオフィスも少なくない。物理的な実体がない中、正しい端末だけがネットワークに参加していることを、どのように保証すればよいのだろうか。

 ここで家庭用の無線LANと同様に「WPA2-PSK(WPA2パーソナル)」のような事前共有鍵方式で認証を施すと問題が起きる。事前共有鍵(パスワード)を知っている人物がいれば、実際には資格がなくても接続できてしまうからだ。

 多くの中小企業では、いまも社内/社外をファイアウォールで区切ることを前提としたセキュリティ対策を施しているだろう。この状態で無線LANを通じて社内ネットワークにつながってしまうと、ファイルサーバをはじめとしたさまざまな情報へのアクセスを許してしまう。

 これを防ぐには、利用者ごと、端末ごとに正しく「認証」を行うことが必要だ。RADIUSなどを使い認証サーバを構築するといった手法で実現できる。

 無線LANでは端末ごとに証明書を使った認証を行う「WPA2-EAP(WPA2エンタープライズ)」を活用したい。現在では企業向け無線LANアクセスポイントに、このような証明書発行/管理機能を搭載した製品が少なくない。小さな規模だからといって家庭用無線LAN親機を利用するのではなく、正しい製品を選択したい。

ネットワークは「動いて当たり前」だからこそ

 ネットワークの基礎となる部分は停止することが許されず、動かなくなってしまったときのインパクトが計り知れない。とはいえ、専門のエンジニアをそこに張り付けることも難しいだろう。

 なるべく問題の切り分けがすぐに実行できる仕組みを取り入れ、可能な限り運用を簡素化できるソリューションを選択する必要があるだろう。動いて当たり前だからこそ、省力化、自動化し、誰でも運用できることが望ましい。

 多くの企業が当たり前のように使っているDNS、DHCP、認証機能だからこそ、正しく運用できているか、見直す必要がある。DNSなどに利用できる技術やハードウェアは進化が著しい。最新のソリューションをこのタイミングで見直すことをお勧めしたい。

特集:ネットワークセキュリティの新常識 「動作する」と「企業インフラとして確実に機能する」の違い

サイバー攻撃や情報漏えい対策などの「セキュリティ」に注目が集まっている。ビジネスを止めないという意味では、普段は動き続けているかもしれないが、トラブルが即ビジネスに直結してしまう「インフラのセキュリティ」にも注目する必要がある。DNSやDHCP、無線LAN、ネットワーク監視などは、動いていることが運用できているというわけではない。正しく運用できて、はじめてリスクが極小化されるのだ。 セキュリティやインフラに専任のエンジニアが張り付き、完ぺきな判断ができるという環境はまれだ。そこで、ネットワークセキュリティをキーワードに、ネットワークのインフラに近い部分に存在する落とし穴を可視化し、適切な対策を取るためにはどうしたらいいか、基礎技術や最新ソリューション、そして事例を含め紹介しよう。




前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。