Click here to visit our sponsor



----------------------------------------------------------------------

 (セキュリティ侵害への対応策について)

----------------------------------------------------------------------

----------------------------------------------------------------------
(設問ア)
----------------------------------------------------------------------
1.システム概要
----------------------------------------------------------------------
 基幹業務システム用サーバー、グループウェアサーバ
ー、ファイルサーバーなどを含むサーバーおよび、15
0台程度のクライアントからなるネットワークシステム
が稼動している。コンピュータの利用目的としては、
・基幹業務(製造管理、在庫管理、販売、購買、経理、
 顧客管理、修理システム)
・一般的なオフィスアプリケーション
・社内、社外のメール
・電子掲示板
・ファイルサーバーの利用
・ホームページ閲覧
 などが主な用途である。

 私の立場は自社内の情報システム担当者として、基幹
システムおよびネットワークの企画、実施、運用管理を
行っている。実施については、基本的にアウトソーシン
グで行っているため、管理業務を行っている。

 セキュリティ対策については、数年前にメールによる
ウイルスによる被害があり、対応にかなりの時間をとら
れたことから、早急な対応が必要ということで一昨年よ
り検討を進め、昨年より実施した。

----------------------------------------------------------------------
2.システム面での対応
----------------------------------------------------------------------
 対応のポイントとしては、
・メールによるウイルス感染および拡散の防止
・社外からのアクセスに対するセキュリティ面での強化
 上記の2点とし、具体的な対応として、
・メールサーバーで送受信されるメールのウイルスチェ
 ックを行う
・ウイルス防御、検出ソフトをすべてのサーバー、クラ
 イアントにインストールする
・外部からの不正アクセス、攻撃に備え、ファイヤーウ
 ォールを設置する

 というきわめて一般的なものであったが、これらが最
適に機能することで、システム面での対応は十分と考え
た。

----------------------------------------------------------------------
(設問イ)
----------------------------------------------------------------------
3.業務内容の特徴
----------------------------------------------------------------------
 顧客情報を含め基幹システムの情報は社内のネットワ
ークおよび社外からのアクセスが可能である。これらは
機密情報であり、社外へ漏洩してはならない。またウイ
ルス感染による社外への二次感染が発生すると、その対
応への費用だけでなく、社会的な信用がなくなり業績に
も影響しかねない。さらにウイルスが原因となり、社外
から重要情報にアクセスされる危険もある。

 このような点に考慮し、システム面での対応が十分機
能するように、運用面の検討を行った。

 また情報システム担当が一名であり、セキュリティ管
理が専任ではないため、工数を抑えることもポイントの
ひとつであった。

----------------------------------------------------------------------
4.運用管理面での対応策
----------------------------------------------------------------------
 以下の項目について検討、実施した。
(1)セキュリティポリシーの策定と実施
(2)メールサーバーでのウイルス監視
(3)サーバーおよびクライアントのウイルス監視定義
   ファイルの更新
(4)ファイヤーウォールの設置
 詳細について、以下に述べる。
----
4−1)セキュリティポリシーの策定と実施
----
 いくらシステム面の対応が十分であっても、使う側の
意識によっては完全に機能しない。またポリシーによる
制限をかけても守られなければ無意味であり、その監査
ができなければポリシー自体に意味が無くなる。

 そこで、まず利用者の意識を高めることを第一に考え、
それに加え問題が発生した場合の連絡体制や手順などを
明示した。

 ユーザーへの周知については、導入時に研修を行った。
ポリシー改定時にも研修を行うこととした。新入社員に
ついては配属時に研修を行うことにした。また部門長へ
依頼し、部門での定例会議においてセキュリティ上の問
題点について検討を行ってもらうようにし、定期的にこ
の報告を部門長より提出してもらうようにした。

 これによりウイルスやセキュリティの知識が高くなり、
セキュリティの意識も以前にくらべ十分に高まった。

----
4−2)メールサーバーでのウイルス監視
----
 社内のサーバーやクライアントにウイルス監視ソフト
をインストールすることで、メールからのウイルス被害
をある程度避けることは可能である。しかし最近のウイ
ルスでは、アドレスを詐称し、メールの送信に詐称した
ドメインのメールサーバーを踏み台にしてウイルス付き
メールをばら撒くようなウイルスも存在する。この場合
メールを受信した側は詐称されたユーザーからのメール
で感染したように見えるため、実際はそうではなくても
社会的信用問題を落とす原因となる。

 これを避けるために、メールサーバー自体で各メール
のチェックを行い、感染したメールはすべてサーバー上
でウイルス除去やメールの削除など処理を行うシステム
とした。こうすることで、踏み台にされた場合でもウイ
ルスを防御することが可能となる。

----
4−3)サーバーおよびクライアントのウイルス監視定
   義ファイルの更新
----
 サーバーおよびクライアントにはウイルス監視ソフト
をインストールし、定義ファイルを常に最新に更新する
必要がある。定義ファイルの更新は設定により自動で行
われるものが多いが、特にクライアント側で予想される
問題点としては、コンピュータの処理速度などの問題か
らユーザーがウイルス監視ソフト自体の動作をとめてし
まうことや、定義ファイルの更新画面でキャンセルして
しまい最新の状態になっていないこと、などがあげられ
る。

 これにてついてはクライアント側ではウイルス監視ソ
フトの停止や設定の変更ができないようものを選定した。
インストールはコンピュータを各部門へ配布するときに
ネットワークの設定とあわせて行うためもれることはな
い。

 定義ファイルについてはサーバーで一括管理し、他の
サーバーやクライアントへの配布ができるものを選定し
た。これによりネットワークに接続し、起動したコンピ
ュータは、必ずウイルス監視ソフトが起動し、常に最新
の定義ファイルにより実行されているという状態になっ
た。更新処理も社内ネットワーク上からのコピーである
ため、意識しないものとなり、また管理工数もほとんど
かからないシステムとなった。

----
4−4)ファイヤーウォールの設置
----
 ファイヤーウォールの設定などを適正に保ちつづける
ためには、専門的な知識と最新のセキュリティ情報が必
須である。このためにかかる時間はかなりのものである。
このため効率よく管理するためには、信頼の置ける専門
の業者にまかせたほうがよいと判断した。

 当然状況の把握は必要であるので、定期的に機器やフ
ァームウェアなどのバージョンの報告があり、不正アク
セスの形跡等があれば即時に報告が行われる。

----------------------------------------------------------------------
(設問ウ)
----------------------------------------------------------------------
5.評価と今後の改善について
----------------------------------------------------------------------
 導入開始から1年が経過するが、セキュリティ上の問
題は発生していない。またユーザーのセキュリティに対
する意識も十分高まってきたといえる。

 管理工数については、セキュリティ管理担当者が1名
のみであるが、従来業務と平行して十分処理できている
ことから十分評価できると考えている。

 改善が必要な部分としては、営業がコンピュータを社
外へ持ち出して利用するケースも多くなっている。本来
は社内ネットワークに接続して参照するのが基本である
が、通信回線スピードの問題もあり、顧客情報や販売実
績などはクライアントにコピーした状態で持ち歩くこと
も多い。これを禁止することも業務効率上望ましくない。

 このような状況でコンピュータが盗難なにより第三者
に渡ると、OSによってはパスワードの保護だけでは十
分とはいえない。

 現在このような問題は起こっていないが、顧客や販売
情報以外の情報でも簡単に本人以外が参照できることは
問題である。営業効率を上げるために安心して情報を持
ち歩けるようにするために、パスワードに加えICカー
ドや指紋認証などについても検討していく必要がある。





[ 戻る ]