セキュリティポリシー
|
セキュリティポリシーとは、簡単にいえば運用のルールのことである。
何を許し、何を許さないか、またそのためにどのような対処をしなければ
ならないかなどを明確にした方針をセキュリティポリシーと呼びます。 |
不正アクセスから保護すべき対象として次のようなものが考えられます。
- コンピュータ
- ネットワーク
- 情報(データ)
- ユーザー
- 社会的信用 など
|
1.コンピュータ
- 許可を得ていない外部の者によるコンピュータ資源の使用
- →一般ユーザー権限での不正ログイン、不正コマンドの実行など
- 管理者権限の詐称
- →ルート権限での不正ログイン、不正コマンドの実行など
- メールの不正中継
- →スパムの中継、メール爆弾の中継など
- サービス妨害攻撃(Denial Of Service)
- →提供するサービスの妨害、システムの負荷増大による運用妨害、システムのハングアップなど
|
2.ネットワーク
- ダイヤルアップルータにきちんとパスワードを設定してなかったために外部からルータ機能の設定を変えらたあとに、パスワードを勝手につけかえられる場合など
|
3.情報(データ)
保護しなければならない情報を大別すると、「漏洩されてはならない情報」と「改ざんや破壊されてはならない情報」の二つに大別できる。
- サイトに届いたメールやパスワードファイルなどは改ざんも漏洩もされてはならない
- WWWサーバーで提供されるWWWのページは改ざんや破壊されてはならない
- ネットワーク内部のデータの漏洩、改ざん、破壊を考える場合、外部からの不正侵入が最も考慮すべきポイント
- トロイの木馬のような脅威も考慮しなければならない
|
4.ユーザー
- ユーザーが誰か、何の目的でマシンを使っているか明確にできるか
- ユーザーが外部のネットワークにアクセスする目的は何か
- ユーザーがネットワーク内部のほかのマシンにアクセスする目的は何か
目的とサービスを考慮し許可するべきかどうか決める |
複数のルータを用意できる環境は個人などには無理であろう。
ルータ1台で使用というのがほとんどであると思われる。
そのような場合スクリーンドホスト構造と呼ばれるものが効果的である。
ルータが厳密に外部と内部の通信の必要なものだけを取り出します。(フィルタリング)
現在では、低価格ルータでもIPフィルタリングやNATなどの機能が標準的に用意されています。そのような機能を活用することによりセキュリティを高めることができます。 |
フィルタリングのルール
- 「All Deny」のルール
- 外部→内部、内部→外部、すべての送信元、すべてのプロトコル、すべての送信先ポートに対して通信を拒絶する設定。
- 必要なポートだけ開く
しかしこれでは設定が大変なものになる。
少し考えればわかるが、POP、HTTP、SMTP、FTPなど・・・すべて設定しなければならない
そこで
- 外部からのアクセスに対し必要なポートのみを開きつつ、内部からのアクセスを大幅に緩和する為に接続確立したパケットを判別する機能を使いながら、危険なポートを閉じる方法を併用すればハイレベルのセキュリティが保たれる
|
