村嶋 修一氏 ライプ IT技術統括部長
私用メールがウイルス運ぶ
支社からのアクセスを禁止
インターネットVPNの運用で問題になるのは,外部からの攻撃だけではない。内部からインターネットへのアクセスによって,ウイルス・メールなどが侵入する。運用ポリシーを固めるだけでなく,BBルーターの設定によるアクセス制御が大事なポイントだ。
B社は5年ほど前から,本社にリモート・アクセス・サーバーを設置し,営業拠点10カ所からの電子メールやWebアクセスなどの情報系と基幹業務系のトラフィックを,すべてダイヤルアップ接続でまかなっていた。ただ,ここ1年で情報系のトラフィックが急増し,社員から「スループットが低すぎる」という不満の声が寄せられるようになっていた。
そこでB社は電子メールとWebアクセスを対象に,インターネット経由で本社へアクセスするよう変更。各営業拠点にBBルーターを設置して,ADSLを導入した。社内サーバーへのアクセスはセキュリティを考慮して,従来のISDNを利用していた。
|
|
図3 社内へのウイルス・メール侵入を防ぐため事業所からの通信を本社に集約したB社 首都圏10カ所の営業拠点から本社へのアクセスにISDNを利用していたが,頻繁に利用する電子メールについてはADSLを使いインターネット経由で利用することにした。ウイルス・メールの発生に際して本社側でウイルス検知サーバーを導入したが,クライアントが直接インターネットからウイルス付きメールを受け取ってしまっていた。結局,各拠点のルーターを,クライアントから必ず本社を経由してインターネットにアクセスするよう設定して,ウイルス・メールが社内に侵入するのを防いだ。 |
消えぬウイルスの原因は社内に
これによりネットワークの運用は楽になったが,インターネットで猛威を振るっていたワーム付きのウイルス・メールが社内に侵入してしまった。そこで,本社内にメール・ウイルスを検知するための専用サーバーを設置し,社員のメールはすべてこのサーバー経由で送受信させることにした。しかし,事業所では相変わらずワームによる被害が後を絶たない。B社の担当者は,原因調査のために全事業所でのネットワーク利用実態を調査した。すると,個人で契約しているインターネット接続事業者のメール・サーバーに接続して,メールを受信している社員が多数いることが判明した。社外のメール・サーバーに届いたメールを直接受信しているので,本社でメールの感染チェックをしていても効果がなかったのである。
社外のサーバーとはつながない
最近のウイルスは強力な感染力を持ち,次々と新種が現れる。ネットワークの運用ポリシーで外部へのアクセスを禁止するだけでは不十分――。こう判断したB社は,事業所内のパソコンからの通信をすべてADSLとインターネットVPNでいったん本社へ集めることにした(図3[拡大表示])。
本社ですべてのトラフィックを集中管理することで,事業所が直接インターネットからワームを受け取ってしまうのを防ぐためである。
ただし,最初に導入したルーターは,パケット・フィルタリング機能を備えていなかった。このため,内部から外部へのアクセスを制御することはできない。結局,この機能を備えるルーターに入れ替える必要が生じた。
