サイバートラスト

企業ネットワークとセキュリティに関する FAQ

こちらでは、スマートデバイスの導入・活用を検討する情報システム部門の方向けに、よくある質問と回答の形式で、セキュアな企業ネットワーク構築にかかわる情報をご案内いたします。


ネットワーク/VPN/無線 LAN


Q1. 社内と社外でネットワークを分けるべきですか?
高いセキュリティ性を確保するには社内外でネットワークを分けるべきです。しかし、社内に限定したネットワークだからとセキュリティを甘く考えてしまい、サイバー攻撃に気づかず、ウイルスが社内で広がることもあります。こうしたケースを防ぐ意味でも、複合的にセキュリティを高める方法を用意しておくと良いでしょう。
デバイス ID を利用することで、社内ネットワークにアクセス可能な端末を、識別・管理することができ、トラブルが発生した際も素早く対処できます。
Q2. VPN とはどういうものですか?
Virtual Private Networkとは、仮想的に専用のインターネット回線を引いて安全性を高めるというものです。通常のインターネットは全世界からアクセスが可能ですが、VPN はあらかじめ決められた端末だけでしか通信ができないため、機密情報のやりとりをする際などに有効です。
デバイス ID を利用することで、社内ネットワークにアクセス可能な端末を識別・管理することが可能です。
Q3. フリーアクセスポイント、パブリックアクセスの Wi-Fi は仕事に使っても大丈夫ですか?
メールの送受信を行う際、メールソフトは登録された ID とパスワードで正しい受信者かどうかを精査してメールの受信を行います。フリーアクセスポイントでは、利便性を高めるために暗号方式が低いもしくは暗号化を設定しないなど、セキュリティ強度を弱めているケースが少なくありません。このため、通信情報を盗み取られる可能性が高いと考えられます。最近はホテルが提供しているアクセスポイントを悪用した「ダークホテル」という攻撃手法が話題を集めていますが、信頼できるアクセスポイントかどうかを接続前に調べることで、サイバー攻撃の被害を防ぐことも可能です。
デバイス ID を利用することで利便性を損なわず、安全に利用することができます。デバイス ID を利用したセキュアな Wi-Fi サービスを提供している事例もあります。
Q4. VPN 接続の認証の種類はどんなものがありますか?
ID、パスワード、MAC アドレス、デジタル証明書による認証方法があります。
Q5. 無線 LAN を安全に使う方法は?
無線 LAN には WEP、WPA、WPA2 などの暗号化設定ができます。暗号化の強度の高い WPA2 での設定をお勧めします。さらに EAP-TLS という方法では、パスワードではなくデジタル証明書を使って接続の可否を制御できるため、より高いセキュリティを確保できます。
Q6. 無線のアクセスポイント(AP)を導入するときに気をつけるべきポイントは?
通信エリア、同時接続数も重要ですが、対応しているセキュリティ規格を確認してください。強力なエンタープライズ向けの暗号化技術(WPA、 WPA2)、証明書認証(EAP-TLS)が利用できれば、不審なアクセスを防ぐことはもちろん、素早く発見し対処も容易になります。
Q7. シスコシステムズ、F5 ネットワークス、ジュニパーネットワーク製品を使っていますが、電子証明書による認証は可能ですか?
多くのネットワーク機器は、電子証明書による認証方式に対応しています。デバイス ID は、各社のネットワーク機器に対応し、利便性を損なわずセキュリティ強度を高めることが可能です。
Q8. VDI とはなんですか?
VDI(Virtual Desktop Infrastructure)は、クライアント PC のデスクトップ環境を仮想化してサーバー上に集約して稼働させる仕組みです。「デスクトップ仮想化」と呼ばれることもあります。サーバー上に仮想マシンを用意し、それぞれに Windows やアプリケーションをインストールします。利用者は、個々の PC からネットワークを通じてサーバーに接続し、自分のデスクトップ画面を呼び出して利用します。個々の PC にデータやプログラムを保存しないため、もしも PC が盗難・紛失にあっても情報漏えいのリスクが低いと考えられます。
Q9. VDI を導入するには何に注意するべきか?
VDI(Virtual Desktop Infrastructure)は、個々の PC にデータやプログラムを保存しないため、情報漏えいのリスクが低いと考えられます。しかし、ログイン認証が ID とパスワードだけでは、PC やモバイル端末を紛失した際に第三者にアクセスされる可能性があります。デバイス ID では、社員の持つ端末を識別、管理できるため、端末の盗難・紛失が発生した場合にも素早くアクセスを禁止することが可能です。このように利用者と管理者それぞれがアクセス可否を管理できる状態を作っておくことが大事です。

モバイル

Q1. 企業で提供するモバイル端末は携帯電話(フィーチャーフォン)がいいのか、スマートフォンがいいのか?それぞれの特徴は何ですか?
スマートフォンは PC と同等の性能を持っているため、運用や管理に PC と同等もしくはそれ以上の運用・管理の体制が必要です。携帯電話は電話とメールなど、機能が限定される反面、コストを抑えることができます。スマートフォンでは高性能であり、移動して利用することができるという特性の為、セキュリティにも注意を払う必要があります。
デバイス ID は iPhone、Android 双方に対応しており、管理者が一括して端末のネットワークアクセスを管理できるため、セキュリティ強度を高めることが可能です。
Q2. スマートフォンを支給している会社はどのような使いかたをしていますか?
日本スマートフォンセキュリティ協会(JSSEC)が 2014 年夏に調査した結果(https://www.jssec.org/news/20140812-research.html)では、導入目的では「業務生産性向上(70%)」が最も多く、ついで「社外での業務や在宅勤務の促進(40%)」、「移動時間の有効活用(40%)」、「通信コストの削減(31.7%)」と続きます。そのほかの回答からも、商品説明や在庫管理を円滑に行うなど業務効率向上を意識している企業が多いことがわかります。具体的な利用方法では「ファイル共有(52.4%)」が最も多く、「日報管理(33.3%)」、「勤怠管理(31.0%)」と続いています。スマートフォンは日常的な業務で利用されるケースが多いため、デバイス ID を利用することで端末を特定でき、セキュリティ強度を高めることが可能です。
Q3. BYOD とは何ですか?
BYOD(Bring Your Own Device)は、業務に使う端末を会社側が用意するのではなく、社員が利用している個人端末を業務で利用するという考え方です。会社側のメリットは端末の導入、運用のコストを削減することができ、社員にとっては普段使い慣れた端末をそのまま仕事で利用できます。
ただし、会社が支給する端末とは異なり、情報漏えい対策や紛失・盗難時の対応などが課題となります。
デバイス ID を利用することで、会社側が許可した端末のみ、業務データにアクセス可能な環境を構築することが可能です。
Q4. BYOD を実施する際、押さえておくべきポイントは?
会社支給の端末を利用する際も同様ですが、社員が業務で利用する端末を把握しておくことは重要です。個人の端末を会社の許可を得ずに業務に利用する「シャドー IT」など、社員がどの端末を業務で利用しているかを把握できていない場合、盗難や紛失、不正アクセスによる情報漏えいなどの対策ができなくなる恐れがあります。
デバイス ID を利用することで、会社側が許可した端末のみ、業務データにアクセス可能な環境を構築することが可能です。
Q5. モバイル端末を容易に管理する方法はありますか?
例えば、Mobile Device Management(MDM)などがあります。MDM では、登録した端末を一括して管理、運用ができます。製品ごとでの違いはありますが、例えばゲームアプリのインストールを防ぐ、位置情報を確認できる、リモートで端末ロックができるほか、盗難・紛失した端末内のデータを削除(ワイプ)することができます。
MDM は遠隔で操作するため通信を必要としますが、デバイス ID を利用することで、端末に登録されたデジタル証明書を失効することでネットワークへの接続を禁止し、モバイル端末の運用・管理体制を強化することが可能です。また、iOS であれば、デバイス ID でアプリケーション制限、パスワードポリシー(桁数、利用可能文字)、VPN の設定も可能です。
Q6. モバイル端末のトラブルにはどのようなものがありますか?
モバイル端末に起きるトラブルで重要な点は「紛失、盗難」への対策です。デバイス ID を利用することで、端末を紛失、盗難しても端末に登録された電子証明書を失効することによって、業務データへのアクセスを禁止することが可能です。
Q7. モバイル端末で必ず押さえておかなければならないセキュリティは?
盗難や紛失、不正アクセス対策です。盗難や紛失は最も頻度の高いモバイルのトラブルです。盗難・紛失時は端末が手元にないため、リモート操作やアクセス制御の環境を事前に作っておかないと対処ができなくなります。
デバイス ID を利用することで、アクセス可能な端末を登録、設定することができます。つまり、端末が手元になくてもアクセス制御ができるようになるため、社内のデータ、ネットワークが被害を受ける可能性を大幅に減らすことができます。
Q8. 会社の業務で利用するモバイル端末は、OS やデバイスの種類を揃える必要がありますか?
最近はクラウドサービスが活用され、モバイル端末の環境に関係なく利用できるようになり、OS やデバイスの区別なく社員がモバイル端末を業務で利用できる環境を作っておくことが望ましいです。デバイス ID はマルチ OS、マルチデバイス対応なので、様々なデバイスが混在した環境でもセキュアに管理が可能です。

クラウド

Q1. クラウドサービスとは何ですか?
「クラウドサービス」と呼ばれるものは「パブリッククラウドサービス」のことを指すことが多いです。代表的なものに「Office 365」、「Google Apps」などがあります。こうしたクラウドサービスは端末や場所を問わず利用できる特徴を持っています。例えば、グループウェアでは、社内にいなくても外からスケジュールや掲示板へ書き込み、閲覧もできます。そのほか、最近では書類や表計算を遠隔地にいる社員と共同で編集する機能を持つサービスも登場しています。
Q2. 社内のデータベースやファイルサーバーをクラウド化した場合、社外から利用できるようにする際、留意すべきポイントは?
クラウドサービスは、IDとパスワードでの認証だけで会社からだけではなく自宅からもアクセスができます。誰でもアクセスができ、クラウド上に保存されたデータを閲覧や編集できるのがクラウドサービスのメリットです。一方で、認証が ID とパスワードだけの手軽さがデメリットにもなります。利用者は ID とパスワードを知っていればアクセスができるため、不正な利用者がアクセスする可能性があることも意識してください。
デバイス ID を利用することで、クラウドサービスにアクセス可能な端末を制限することが可能です。デバイス ID は、Online Service Gate などのシングルサインオン(SSO)サービスに対応していますので、クラウドサービスへのアクセス制御を強化することができます。
Q3. クラウドサービスのセキュリティ、ポリシーはどのように考えていくべきですか?
IDとパスワードを慎重に管理するだけでは不十分です。デバイス ID でアクセス可能な端末を限定できる体制を整えておくことが重要です。クラウドへアクセスする利用者との間に、情報システム部など管理側が関与し、挙動やトラブルに適切に対処できる体制を整えておくことが重要です。
Q4. パブリッククラウドとプライベートクラウド、ハイブリッドクラウドとは何ですか?
パブリッククラウドとは、サーバーが自社にない、サービス提供側がサーバーを用意し多種多様な企業や組織、あるいは個人等の不特定多数の利用者を対象に提供されているサービスです。プライベートクラウドは、自社内にサーバーを構築し、企業内の部門やグループ会社の社員がどこからでも利用可能なサービスです。ハイブリッドクラウドとは、利用用途や情報の重要度に合わせて、双方のクラウドを組み合わせ、相互に連携させて運用されるクラウドサービスです。
Q5. 社内サーバーをクラウド化したときに変わることはありますか?
社内共有サーバーであれば、Active Directory や ID、パスワードによる認証で十分です。しかし、クラウド化した場合、ID、パスワードによる認証ではセキュリティとして不十分です。デバイス ID を利用しアクセス可能な端末を限定し、セキュリティを強化することが必要です。
Q6. 8 文字以上で英数字、小文字大文字を混ぜる、毎月変更、など、パスワード管理が大変です。クラウドサービスを利用する ID とパスワードをどう管理すればいいですか?
複数のサービス毎に複雑なパスワードを設定し、それを記憶するのは至難の業です。パスワードが複雑になればなるほど、複数のサービスで共通のパスワードを利用する傾向があります。業務用とプライベート用で同じパスワードを設定してしまうと、一つのサービスで漏えいしたパスワードによって他のサービスで不正なログインが行われてしまいます。
デバイス ID を利用しアクセス可能な端末を限定することでセキュリティを強化することが必要です。
Q7. Windows Server 2003 のサポートが切れましたが、継続利用しても良いのでしょうか?
マイクロソフト社が提供する OS「Windows Server 2003」のサポートが 2015 年 7 月 15 日(日本時間)に終了しました。OS のサポートが終了してしまうと、新たな脆弱性が発見されたとしても、修正プログラムが提供されません。つまり、脆弱性を悪用した攻撃を受ける可能性が高まるということです。
サポートが提供されている最新のサーバー OS への移行、またはクラウドサービスなどに移行することが望ましいです。クラウドサービスを利用する場合、ID、パスワードによる認証ではセキュリティとして不十分なため、デバイス ID を利用しアクセスできる端末を限定することでセキュリティを強化しましょう。
Q8. オンラインストレージ導入時に気をつけるべきポイントは?
個人向けのプランを企業で利用することはお勧めできません。法人プランが用意されているサービスを選びましょう。ID とパスワードを慎重に管理するだけでは不十分です。デバイスIDでアクセス可能な端末を限定できる体制を整えておくことが重要です。
Q9. Office 365 や GoogleApps、グループウェアサービスを利用する際、証明書認証しようとするときはどうすればいいですか?
Office 365 や Google Apps などクラウドを利用したグループウェアを使用する場合、どの端末からでも ID、パスワードのアカウント情報を入力することで利用することができてしまいます。業務用以外の個人端末からのアクセスだけでなく、ID、パスワードの漏えいによる不正アクセスによって、業務データが漏えいする危険性も意識してください。
デバイス ID を利用することで、クラウドサービスにアクセスできる端末を制限することができます。デバイス ID は、Online Service Gate などのシングルサインオン(SSO)サービスに対応していますので、クラウドサービスへのアクセス制御を強化することが可能です。

セキュリティ全般

Q1. ネットワーク接続に対するセキュリティを考える上で重要な点は?
情報漏えいやサイバー攻撃を完全に防ぐことはとても困難になってきています。また、必要のない部分にも対策を施してしまい、余分なコストをかけている企業も見られます。「絶対に漏らさない」のではなく、「漏れた箇所を素早く特定し、対処をする」と考えることが今後のセキュリティでは重要であり、より強固なセキュリティ体制を整えるポイントとなります。ID とパスワードによる認証だと成り済ましの不正アクセスを受けた場合にアクセスした人を特定することができません。しかし、端末認証技術を用いるデバイス ID は、アクセスできる端末を特定する方法でセキュリティを高めることが可能です。
Q2. セキュリティポリシーを定めたい、しかし何をすれば良いのか?
セキュリティは、「攻撃されるかもしれない」を防ぎ、安心して業務に取り組める環境を作ります。サイバー犯罪者は常に会社の顧客情報、社員の個人情報などを狙っています。つまり、「情報」を狙っているのです。守るべきものは「情報」、こう考えれば、守るべき、定めるべきポリシーを絞ることができるのではないでしょうか。