社内LANへのファイアウォール導入の意味 - PCサポート・IT環境 - 専門家プロファイル

専門家の皆様へ 専門家プロファイルでは、さまざまなジャンルの専門家を募集しています。
出展をご検討の方はお気軽にご請求ください。

社内LANへのファイアウォール導入の意味

法人・ビジネス PCサポート・IT環境 2007/09/11 16:05

はじめまして、社員10名、PC10名、ファイルサーバー1台、アプリケーションサーバー1台という環境の会社で、兼任のシステム担当(少しだけパソコンに詳しいというだけですが)をしている者です。


弊社では大量の個人情報を取り扱っておりまして、セキュリティにはやや敏感になっております。現状社内LANを組みまして、各自のPCと各種機器を結んでいるのですが、今度セキュリティを強化するためにファイアウォールを導入してはどうか、という話が進んでおります。


外国メーカのものになりますが、外部のネットワーと社内LANの間へ物理的に挟み込むことで、効果があるだろうかと考えております。非常にざっくりとした話で申し訳ないのですが、専門家のご意見を伺いたく、投稿をさせていただきました。よろしくお願いいたします。

銅さん ( 愛知県 / 男性 / 28歳 )

回答:11件

濱田 崇 専門家

濱田 崇
ITコンサルタント

- good

費用をかけずにセキュリティリスクを減らす

2007/09/11 18:41 詳細リンク
(5.0)

IT化支援ラボ 濱田と申します。
他の回答とかぶっている部分がありますがご了承下さい。

「ファイルサーバ」「アプリケーションサーバ」のみとの
事ですが、もしそれらが社内専用で外部からのアクセスを
受け付けなくて良いものでしたら、一般の家庭向け
ネットワークと同じと考えられます。
(メールサーバやWebサーバ等はLAN内に無く、レンタルサーバを
利用している場合など)

その場合特殊なファイアーウォール機器やソフトウェアは不要で、
ルータや無線機器の設定やパスワード管理をしっかりと行うだけで
充分に安全は確保できると思います。

逆にアプリケーションサーバが外部へのサービスを公開している
場合は早急に専門家にチェックして頂いた方が良いです。


また話しがずれますが、よくあるセキュリティ事故と
費用をかけずに行えるちょっとした知恵(?)をご紹介します。

まずセキュリティ事故の多くがノートPCの置き忘れや盗難などの
物理的な原因により起こります。
これらの対策としてPCのハードディスク丸ごとを暗号化する方法が
ありますが、すぐにできる対策で案外行われていない事が、
「ファイルサーバで全ての作業を行う」という作業方法です。
PCには基本的にファイルをコピーせず、サーバのファイルを直接操作する事を
徹底的に義務付けることでノートPC紛失時、盗難時のリスクはかなり減少
します(ファイルサーバのデイリーバックアップが必須になりますが)。

もう1つよくあるセキュリティ事故はソフトウェア経由で情報が流出
してしまう事ですが、これらの対策としてはNortonなどのPC向け
セキュリティソフトの導入(されていると思いますが)に加え、
全PCに対する定期的な設定や更新のチェックを行って下さい。
定期的なチェックには、社員一人ひとりのセキュリティ意識を引締める
効果も期待でき非常にオススメです。

評価・お礼

銅さん

弊社のサーバーはすべて社内向けですので、前の方のご回答にもありましたが、ルーターの確認をしてみたいと思います。これですめば非常に安上がりで助かりますね。
ファイルサーバーの使い方も、ご指摘ありがとうございます。現状バックアップ用途がメインでしたので、見直しも考えてみようと思います。助かりました、ありがとうございます。

回答専門家

濱田 崇
濱田 崇
(神奈川県 / ITコンサルタント)
代表取締役
090-6002-4611
※お電話の際は「"プロファイル"を見た」とお伝え下さい。

そのシステムは必要か?見積りは適正か?第三者の立場から助言

「金をかけたのに使えない」これらはシステムを導入した企業からよく聞かれる言葉です。致命的な問題を回避し、高いパフォーマンスが得られるシステムを導入できる手法を書籍でも紹介しています。お陰様で高い評価とご満足を頂いております。

質問やお悩みは解決しましたか?解決していなければ...

※あなたの疑問に専門家が回答します。質問の投稿と閲覧は全て無料です。
谷口 浩一

谷口 浩一
Webプロデューサー

- good

現実的なセキュリティーについて

2007/09/11 23:09 詳細リンク
(4.0)

銅さん、こんばんは。

チームデルタの谷口です。

目に見えない敵への備えは、思いのほかご苦労なことが多いですよね。
何をやっても「完全」はないですし。

セキュリティーは厳格なポリシーに従って構築するのが理想ですが、ビジネスである以上、収益とトレードオフであることは否めません。

個人情報の漏洩はシステムを介してよりも人的な事故、あるいは不正により内部で生じるケースが多いのご存知の通りであることとネットワークの規模を前提に現実的なセキュリティーの実践についてお話します。

日々、現状の人員で運用を行われるのであれば、S社(貴社ご選定の機種もこれかも知れませんが)のファイアーウォールの導入がよろしいかもしれません。
最新機種ではIPS(侵入検知/侵入防御)も付加されたようですし、設定が圧倒的に簡単です。
また、各端末へは、アンチウィルス、アンチスパイウェア、IPSを含めた統合プロテクション系ソフトの導入、情報漏えい検知/持ち出し監視ツールの導入をお奨めします。
加えて、アプリケーションサーバがWin系であればソフトIPSが適しているかも知れません。
導入されているアプリケーションの脆弱性の穴埋めに適した製品を選べます。
ファイアーウォールのIPSとは検知レベルが異なりますので機能が重なることはありません。

理想はさておき、規模と機能に限定してお伝えしました。
ご参考になれば幸いです。

評価・お礼

銅さん

ご指摘のとおり、いくらハードで守りを固めても、人間がミスを犯せば台無しですね。きちんと考えたいと思います。ちなみに検討をしておりましたのは、F社の製品なのです。
ご回答ありがとうございます。


個人情報の管理は厳重に

2007/09/11 16:29 詳細リンク
(4.0)

個人情報をどのように運用されているのかについてはわかりませんが、セキュリティ面だけでなく、運用面においても厳重な注意が必要です。

データの管理についてはF/Wなどももちろんですが、社内サーバでは非常に危険が伴うケースもありますので、アクセス者を絞った形でセキュリティレベルの高いデータセンターにて厳重に保管しておくのも手です。

社員PCに常時データが入るとなると特に危険ですのできちんとした運用ルール(セキュリティルール)を策定し、実施する必要があります。

個人情報保護管理責任者を置き、社内体制を作ることをおすすめします。

評価・お礼

銅さん

ハード面より、まずソフト面から考える必要がありそうですね。そもそも的なところも含めて、考えたいと思います、ありがとうございました。


ファイアーウォールは「概念」と思って下さい

2007/09/11 16:58 詳細リンク
(5.0)

株式会社ビューポイント情報科学研究所の荒木と申します。

どのようなシステムを導入するのか具体的にはわかりませんが,ファイアーウォールはハードウェアを導入すれば済むというものではありません。このようなハードウェアは,普通のコンピューターにファイアーウォール設定のためのハード的なスイッチも含むユーザーインターフェースをつけただけのものと思って下さい。値段が安いということがあるかもしれませんが,何もファイアーウォール専用のハードウェアを導入することはありませんし,故障時の対応を考えると私だったら導入しません。故障したらその間ファイアーウォールなしの環境になります。

また,このような専門ハードウェアを導入したとしても,購入時のルート権限,すなわち何でもできるユーザーIDのパスワードを変更せずに使っていたとしたら,ファイアーウォールとしての意味がありません。

ファイアーウォールは何を設定するかというと,主にアプリケーションポートの使用の可否を設定します。使用しないアプリケーションのポートは閉じておくというのが基本です。アプリケーションポートについて詳しくは,私のコラムをご覧下さい。
http://profile.allabout.co.jp/ask/column_detail.php/11291

これも,ユーザーによって使用するアプリケーションは違いますので,個別に設定してやらなければなりません。ですから,ハードウェアを導入して接続しておしまいというものではないのです。

また,無線LANにおいて外部からネットワーク名が見えるかどうか,MACアドレスを指定して接続できる機器を限定してしまうのかどうか,これもファイアーウォールと言えます。これらの設定は無線LANのルーターで行ないますから,ご質問のハードウェアの導入だけではできないことです。

補足

書き忘れました。

何も専用のハードウェアを導入する必要はなく,直接インターネットと接続する汎用のOSのサーバーを導入すれば良いのです。私でしたらMacOS X Server(これはUNIXです)が実装されたXserveを導入します。ファイアーウォールの設定が実に簡単だからです。MacOS XだからWindowsの環境では使えないと思ったら大間違いで,Windowsのサーバーを導入するよりはるかに安いです。

評価・お礼

銅さん

ご回答ありがとうございます。セキュリティを高めるハード面の施策にもいろいろな方法が考えられるのですね、もう少し(といっても悠長にはできませんが)勉強をしたいと思います。ありがとうございました。


ルータの機能でも充分ですよ

2007/09/11 17:31 詳細リンク
(5.0)

はじめまして、マジック・プロジェクト 海岸と申します。

ファイアウォールを導入されると言うことですが、ファイヤーウォール機能は多くのルータに搭載されています。

不正アクセスを遮断するという点においては、正確な設定が出来れば、ファイヤーウォール専用機を用意しなくても、高機能ルータであれば充分だと考えます。


PC10台、ファイルサーバ1台とのことですが、

1.全て同一のネットワークアドレス内に存在する。

2.他の事務所や支店などとVPNを組んでいない。

3.外部からのリモートアクセスが必要ではない

であれば、国内メーカの高機能ルータで十分ではないかと個人的には考えます。
※上記内容でも、機種によってはルータで十分ですが。

一番の問題は、社内に少しだけパソコンに詳しい方がいらっしゃるレベルだと言うことです。
この場合、設定を専門家に依頼されることを強くお奨めします。
機能があっても、機能していないのであれば意味がありませんので。

評価・お礼

銅さん

ルータは気づきませんでした。弊社の環境はご指摘の条件をすべて満たしておりますので、まずは現状使用しているルーターの仕様を確認してみます。ありがとうございました。


セキュリティは総合的に

2007/09/11 17:53 詳細リンク
(5.0)

セキュリティに関してはFirewallだけでなく総合的にご検討頂く必要があります。その上で導入や運用にかかるコストとの見合いで全体としてどうするかを決定して頂きたいと思います。
重要なポイントはセキュリティの脆弱性はメンテナンスされないとドンドン劣化してゆきますので継続的な運用管理が必要です。そのコストも予め検討して頂きたいとことです。

1.Firewall・IDS=外部不正侵入・使用不能攻撃防止
・基本的に外からの玄関にカギをかけるようなもの。どの程度のカギをかけるかは予算と運用次第。
2.AntiVirus=ウィルス感染防止
・まずは基本的に各PCには最低入れます。できればサーバやネットワークに導入も検討ください。
3.認証=不正アクセス防止(内部・外部)
・簡単なものではID/パスワード。最近は指紋認証やICカード認証、その複数の組み合せなども。
4.暗号化=情報漏えい防止
・PCの盗難や置き忘れ。不正入手された場合などの対策。高度な権限管理をできるものもある。
5.ファシリティ=入退室管理・不正コピー禁止など
・実はかなり大事な要素。情報漏えいのほとんどは内部犯行です。この運用が最も難しくかつ重要。

大まかにこの5点の観点で、実際の予算を鑑みてどこまで対策するべきかご検討ください。低予算であっても1〜5までの対策はとれます。「1」だけの対策は部分的なものでしかないので、例えると、玄関にカギかけても縁側の雨戸は空けっぱなし、では意味ないです。

是非総合的なご検討をしてくださいー。(^o^)/

評価・お礼

銅さん

非常に具体的なご回答感謝します。さっそくリストに起こして検討をしてみたく思います。予算は厳しいものがありますが、この程度であればすぐにでも取り掛かれるものもありそうですね。助かります、ありがとうございました。


ファイアウォール以外は大丈夫ですか?

2007/09/12 08:08 詳細リンク

銅さん、こんにちは。
ITウェイブの宮下です。

ファイアウォールの技術的な見解については、他のコンサルタントの方々が回答されていますので、省かせていただきます。
ただし、どういう方法をとるにしても、ファイアウォールの機能や特性、ネットワークの原理を理解しておかないと、適切に使いこなすことは難しいと思いますので、しっかり勉強していただくか、それが出来ない場合は専門家に依頼すべきです。

「大量の個人情報を取り扱って・・・」ということですが、万一個人情報が漏洩したならば、企業にとって命取りになりかねません。個人情報保護については重要経営課題として取り組む必要があります。

個人情報漏洩の原因は人為的なものが最も多くなっています。技術面の対策も勿論必要ですが、社内/社外において、個人情報の取扱いルールを厳格に設定して運用することが重要です。

できれば個人情報保護の専門家に一度ご相談されることをお奨めします。
また大量の個人情報を扱われていますので、プライバシーマークの取得も視野に入れても良いかと思います。

ご質問に沿った回答にはなっていませんが、お役に立てば幸いです。


外部に接続する理由は何でしょう

2007/09/12 14:52 詳細リンク

アトラスの高橋と申します。

社内LANを外部に接続しなければいけない理由は何でしょうか?
メールですか?WEBページの閲覧ですか?それ以外にありますか?メールサーバは社内ですか?外部においていますか?
メールとWEBの閲覧だけでいいのなら、ルータだけでも事足りるかもしれません。

またLANに繋がっているPC全部が、外部アクセスをする必要がありますか?アクセスしなければならないPCだけ・・という手もあります。

根本から考えたほうがいいかと思います。
「大量」の個人情報がある・・のでしたら、情報の種類と数、入手から破棄までの仕事の流れの中で、どういうリスクがあり、漏洩や事故の場合の重要度を、洗い出しておくべきです。
その上で、必要な機器や体制や役割が決まってきます。

御存知かも知れませんが、個人情報保護法は、5000人以上の個人情報を6ヶ月以上持っていれば適用されます。会社の規模や従業員の人数とは無関係で、重大で悪質な違反には、6ヶ月の懲役や罰金の対象です。
保護・遵法のためには、代表者の決心や強い意志が必要ですから、一担当者だけで悩むべき問題ではありません

個人情報保護については、お急ぎでなければ、今後コラムにUPしていこうと思っています。よろしければ、参考にして下さい。


ファイアウォールの利用

2007/09/13 10:56 詳細リンク

はじめまして
ジーエンスの篠塚と申します。
ファイアウォールの利用ですが、
物理的に、間に入れれば何とかなるものではないと思います。
利用方法をしっかり検討される事をお勧めいたします。

セキュリティ強化の意味
どのようなデータに対するセキュリティか?
それは、通常どこにおいてあって、
誰が管理し、
利用者は誰で、どこで利用するのか?
等々、、、、

セキュリティに関して言えば、運用管理の取り決めが
無ければ話が進みません。
どうぞ、運用面の管理体制の見直しから入っていけばよろしいかと思います。
おのずと何が必要か?見えてくると思います。


ルーターで対応するのがよいと思います。

2007/09/17 22:43 詳細リンク

今回セキュリティとおっしゃっていることが個人情報にアクセスできなくするためにどうしたらよいという質問と解釈して回答します。
まず社内でファイヤーウォールを使用するのは、社外の人がエクストラネットからアクセス可能な状態にしている場合でない限り必要ありません。
ファイヤーウォールの特性はあくまでもTCPのフロー、シーケンスチェックの整合性をハードウェアレベルで高速にチェックし、悪意のものからの攻撃を防ぐことです。余程リスクのある外部からの接続や巧妙な手口の攻撃を受ける可能性がない限り必要ないです。
また、たとえファイヤーウォールを入れたとしても、プロトコルレベルでパケットをフィルタリングできる知識がなければ、攻撃に対してスカスカでファイヤーウォールを導入する意味がなくなってしまいます。
送受信先のアドレスやポートレベルでパケットフィルタリング(疎通をとめる)ことを希望されるのであれば、安価で高機能なルーターがたくさんあるのでそちらを利用されるのがよいと思います。この場合、特定のPC(固定IP)からのアクセスを限定させるしかできません。
本当に個人情報へのアクセスを限定されたいのであれば、ファイルを暗号化し、特定の人しか見れないようにネットワークレベルではなく、ファイルでセキュリティを考えるほうがベストだと思います。


専門家に依頼するべきです。

2008/02/29 17:27 詳細リンク

NSTSの木村です。

かなり前のご質問なので、ここでは同じような境遇のシステム担当者の方にお答えします。

企業規模や内容から見て、ファイアウォールの導入に関しましては、国内メーカーの高機能ルータで充分だと思います。

でもあなたが、するべきことは情報システム管理だけではありませんよね。
ましてシステム担当者は一人だけなのですよね。

最近、個人情報流出等は会社の存続に係わるような事になりかねません。その場合あなたは一人で責任を負えますか?
あなたが病気で入院などした場合は、誰かが替わりをできますか?
すぐに対応を迫られる時に相談に乗ってもらえる専門家はいますか?

まずは、専門家に現状を調査してもらうべきです。そして経営者と一緒になって問題箇所を洗い出しましょう。

予算的に専門業者と保守契約等ができない場合は、保険会社と相談してイー・リスク対応型の保険に加入するのもいいと思います。

セキュリティ対策は、問題が起こらないようにすることも重要ですが、起こった時のこともイメージしておくべきです。
スポット契約でも、すぐに来てくれる業者があれば、あなたに重くかかるプレッシャーはかなり軽減できます。

私は、これまでに責任と重圧でつぶれていったシステム担当者を多く見ています。リスク軽減をすることが、あなたにとっても会社にとっても一番です。

情報通信インフラのことならNSTSへ

(現在のポイント:-pt このQ&Aは、役に立った!

このQ&Aに類似したQ&A

スマートフォンやタブレットの社内利用について のぶたろうXさん  2012-07-11 20:18 回答1件
ノートパソコンのセキュリティ対策 passwordさん  2009-03-04 17:32 回答8件
タイムカード導入のデメリットについて scottieさん  2009-02-25 21:35 回答5件
ウイルスチェックソフトは必要? しろうささん  2007-06-07 20:07 回答9件
専門家に質問する

タイトル必須

(全角30文字)

質問内容必須

(全角1000文字)

カテゴリ必須

ご注意ください

[1]この内容はサイト上に公開されます。

  • ご質問の内容は、回答がついた時点でサイト上に公開されます。
  • 個人や企業を特定できる情報や、他人の権利を侵害するような情報は記載しないでください。

[2]質問には回答がつかないことがあります。

  • 質問の内容や専門家の状況により、回答に時間がかかる場合があります。
気になるキーワードを入力して、必要な情報を検索してください。

表示中のコンテンツに関連する専門家サービスランキング

メール相談

ホームページSEO診断

ホームペーイjの内部SEOに特化したサービス

小菅 太郎

アイナパル

小菅 太郎

(ITコンサルタント)

田川 耕

フードビジネスコンサルタントオフィス シナプス

田川 耕

(飲食店コンサルタント)

平岡 美香

フードコンサルティング株式会社

平岡 美香

(マーケティングプランナー)

メール相談 事業継承、会社売買のお気軽相談
中井 雅祥
(求人とキャリアのコンサルタント)