PR

 社内ネットワークのセキュリティはファイアウォールで守るというのが常套手段だった。しかし、こうした「境界セキュリティ」だけでは社内ネットワークを守れなくなっている。持ち込んだパソコンから社内LANにウイルスがまん延してしまったり、社内ユーザーによる情報漏えい事件などが起こっているからである。
 そこで重要になるのが「内部ネットワーク・セキュリティ」だ。これは、社内ネットワークの内側から来るセキュリティ上の脅威を社内ネットワークの中で防ぐという考え方である。基本的な対策は大きく2つある。それは、各パソコン/サーバーでセキュリティを守る「エンドポイント・セキュリティ」と、部署間の不要な通信を遮断する「セグメント化」だ。

ウイルス対策などを一元管理

 「エンドポイント・セキュリティ」ではまず、個々のパソコンやサーバーのセキュリティをウイルスから守るウイルス対策ソフトのインストールが欠かせない(図)。その上でパターン・ファイルを最新状況に保つ工夫が必要になる。パターン・ファイルが最新状況でないパソコンに社内ネットワークを利用させないという仕組みも重要だ。

図 内部ネットワーク・セキュリティの考え方
図 内部ネットワーク・セキュリティの考え方
従来のファイアウォールでは守れない社内ネットワーク内部からの脅威に対処する

 さらに、パーソナル・ファイアウォールを各パソコンに盛り込むといった対策も効果的である。最新のパターン・ファイルでも防げない未知のウイルスに感染してしまった場合でも、ウイルス感染の拡大を防げるからだ。
 エンドポイントにおける対策は、その企業のセキュリティ・ポリシーを反映したものでなければならない。そこで各パソコン/サーバーにインストールしたウイルス対策ソフトやパーソナル・ファイアウォールの設定を一元的に管理する仕組みが必要になる。

LAN用プロトコルの通信をチェック

 次の対策は、個々の部署のネットワークを分ける「セグメント化」だ。社内ネットワークの通信内容をチェックして、必要のない部署間のやり取りを遮断し、通信を部署内に閉じ込める。こうすることで、ウイルス感染の拡大や他の部署の不正ユーザーによる情報漏えいを防止する。
 セグメント化には、境界セキュリティ用のファイアウォールでは力不足だ。なぜなら、境界セキュリティ用のファイアウォールはインターネットからの不正アクセスを防止するのが目的なので、チェックできるのがTCP/IPの通信に限られるものが多いからである。
 社内ネットワークで使われるプロトコルはTCP/IPに限らない。WindowsネットやNetWareのファイル共有用プロトコルやホスト・ベースの独自プロトコルが使われているケースもまだある。これらTCP/IP以外のプロトコルの通信内容をチェックするには内部ネットワーク・セキュリティ専用のファイアウォールが必要となる。
 これらの対策を講じることで、社内ネットワークに及ぶセキュリティ上の脅威を未然に防げるわけである。