社内LANへのファイアウォール導入の意味

個人情報をどのように運用されているのかについてはわかりませんが、セキュリティ面だけでなく、運用面においても厳重な注意が必要です。

データの管理についてはF/Wなどももちろんですが、社内サーバでは非常に危険が伴うケースもありますので、アクセス者を絞った形でセキュリティレベルの高いデータセンターにて厳重に保管しておくのも手です。

社員PCに常時データが入るとなると特に危険ですのできちんとした運用ルール（セキュリティルール）を策定し、実施する必要があります。

個人情報保護管理責任者を置き、社内体制を作ることをおすすめします。

株式会社ビューポイント情報科学研究所の荒木と申します。

どのようなシステムを導入するのか具体的にはわかりませんが，ファイアーウォールはハードウェアを導入すれば済むというものではありません。このようなハードウェアは，普通のコンピューターにファイアーウォール設定のためのハード的なスイッチも含むユーザーインターフェースをつけただけのものと思って下さい。値段が安いということがあるかもしれませんが，何もファイアーウォール専用のハードウェアを導入することはありませんし，故障時の対応を考えると私だったら導入しません。故障したらその間ファイアーウォールなしの環境になります。

また，このような専門ハードウェアを導入したとしても，購入時のルート権限，すなわち何でもできるユーザーIDのパスワードを変更せずに使っていたとしたら，ファイアーウォールとしての意味がありません。

ファイアーウォールは何を設定するかというと，主にアプリケーションポートの使用の可否を設定します。使用しないアプリケーションのポートは閉じておくというのが基本です。アプリケーションポートについて詳しくは，私のコラムをご覧下さい。
http://profile.allabout.co.jp/ask/column_detail.php/11291

これも，ユーザーによって使用するアプリケーションは違いますので，個別に設定してやらなければなりません。ですから，ハードウェアを導入して接続しておしまいというものではないのです。

また，無線LANにおいて外部からネットワーク名が見えるかどうか，MACアドレスを指定して接続できる機器を限定してしまうのかどうか，これもファイアーウォールと言えます。これらの設定は無線LANのルーターで行ないますから，ご質問のハードウェアの導入だけではできないことです。

はじめまして、マジック・プロジェクト 海岸と申します。

ファイアウォールを導入されると言うことですが、ファイヤーウォール機能は多くのルータに搭載されています。

不正アクセスを遮断するという点においては、正確な設定が出来れば、ファイヤーウォール専用機を用意しなくても、高機能ルータであれば充分だと考えます。


PC10台、ファイルサーバ1台とのことですが、

1.全て同一のネットワークアドレス内に存在する。

2.他の事務所や支店などとVPNを組んでいない。

3.外部からのリモートアクセスが必要ではない

であれば、国内メーカの高機能ルータで十分ではないかと個人的には考えます。
※上記内容でも、機種によってはルータで十分ですが。

一番の問題は、社内に少しだけパソコンに詳しい方がいらっしゃるレベルだと言うことです。
この場合、設定を専門家に依頼されることを強くお奨めします。
機能があっても、機能していないのであれば意味がありませんので。

セキュリティに関してはFirewallだけでなく総合的にご検討頂く必要があります。その上で導入や運用にかかるコストとの見合いで全体としてどうするかを決定して頂きたいと思います。
重要なポイントはセキュリティの脆弱性はメンテナンスされないとドンドン劣化してゆきますので継続的な運用管理が必要です。そのコストも予め検討して頂きたいとことです。

１．Firewall・IDS＝外部不正侵入・使用不能攻撃防止
・基本的に外からの玄関にカギをかけるようなもの。どの程度のカギをかけるかは予算と運用次第。
２．AntiVirus＝ウィルス感染防止
・まずは基本的に各PCには最低入れます。できればサーバやネットワークに導入も検討ください。
３．認証＝不正アクセス防止（内部・外部）
・簡単なものではID／パスワード。最近は指紋認証やICカード認証、その複数の組み合せなども。
４．暗号化＝情報漏えい防止
・PCの盗難や置き忘れ。不正入手された場合などの対策。高度な権限管理をできるものもある。
５．ファシリティ＝入退室管理・不正コピー禁止など
・実はかなり大事な要素。情報漏えいのほとんどは内部犯行です。この運用が最も難しくかつ重要。

大まかにこの5点の観点で、実際の予算を鑑みてどこまで対策するべきかご検討ください。低予算であっても１〜５までの対策はとれます。「１」だけの対策は部分的なものでしかないので、例えると、玄関にカギかけても縁側の雨戸は空けっぱなし、では意味ないです。

是非総合的なご検討をしてくださいー。(^o^)／

IT化支援ラボ 濱田と申します。
他の回答とかぶっている部分がありますがご了承下さい。

「ファイルサーバ」「アプリケーションサーバ」のみとの
事ですが、もしそれらが社内専用で外部からのアクセスを
受け付けなくて良いものでしたら、一般の家庭向け
ネットワークと同じと考えられます。
(メールサーバやWebサーバ等はLAN内に無く、レンタルサーバを
利用している場合など)

その場合特殊なファイアーウォール機器やソフトウェアは不要で、
ルータや無線機器の設定やパスワード管理をしっかりと行うだけで
充分に安全は確保できると思います。

逆にアプリケーションサーバが外部へのサービスを公開している
場合は早急に専門家にチェックして頂いた方が良いです。


また話しがずれますが、よくあるセキュリティ事故と
費用をかけずに行えるちょっとした知恵(?)をご紹介します。

まずセキュリティ事故の多くがノートPCの置き忘れや盗難などの
物理的な原因により起こります。
これらの対策としてPCのハードディスク丸ごとを暗号化する方法が
ありますが、すぐにできる対策で案外行われていない事が、
「ファイルサーバで全ての作業を行う」という作業方法です。
PCには基本的にファイルをコピーせず、サーバのファイルを直接操作する事を
徹底的に義務付けることでノートPC紛失時、盗難時のリスクはかなり減少
します（ファイルサーバのデイリーバックアップが必須になりますが）。

もう1つよくあるセキュリティ事故はソフトウェア経由で情報が流出
してしまう事ですが、これらの対策としてはNortonなどのPC向け
セキュリティソフトの導入(されていると思いますが)に加え、
全PCに対する定期的な設定や更新のチェックを行って下さい。
定期的なチェックには、社員一人ひとりのセキュリティ意識を引締める
効果も期待でき非常にオススメです。

銅さん、こんにちは。
ITウェイブの宮下です。

ファイアウォールの技術的な見解については、他のコンサルタントの方々が回答されていますので、省かせていただきます。
ただし、どういう方法をとるにしても、ファイアウォールの機能や特性、ネットワークの原理を理解しておかないと、適切に使いこなすことは難しいと思いますので、しっかり勉強していただくか、それが出来ない場合は専門家に依頼すべきです。

「大量の個人情報を取り扱って・・・」ということですが、万一個人情報が漏洩したならば、企業にとって命取りになりかねません。個人情報保護については重要経営課題として取り組む必要があります。

個人情報漏洩の原因は人為的なものが最も多くなっています。技術面の対策も勿論必要ですが、社内／社外において、個人情報の取扱いルールを厳格に設定して運用することが重要です。

できれば個人情報保護の専門家に一度ご相談されることをお奨めします。
また大量の個人情報を扱われていますので、プライバシーマークの取得も視野に入れても良いかと思います。

ご質問に沿った回答にはなっていませんが、お役に立てば幸いです。

アトラスの高橋と申します。

社内ＬＡＮを外部に接続しなければいけない理由は何でしょうか？
メールですか？WEBページの閲覧ですか？それ以外にありますか？メールサーバは社内ですか？外部においていますか？
メールとWEBの閲覧だけでいいのなら、ルータだけでも事足りるかもしれません。

またＬＡＮに繋がっているＰＣ全部が、外部アクセスをする必要がありますか？アクセスしなければならないＰＣだけ・・という手もあります。

根本から考えたほうがいいかと思います。
「大量」の個人情報がある・・のでしたら、情報の種類と数、入手から破棄までの仕事の流れの中で、どういうリスクがあり、漏洩や事故の場合の重要度を、洗い出しておくべきです。
その上で、必要な機器や体制や役割が決まってきます。

御存知かも知れませんが、個人情報保護法は、５０００人以上の個人情報を６ヶ月以上持っていれば適用されます。会社の規模や従業員の人数とは無関係で、重大で悪質な違反には、６ヶ月の懲役や罰金の対象です。
保護・遵法のためには、代表者の決心や強い意志が必要ですから、一担当者だけで悩むべき問題ではありません

個人情報保護については、お急ぎでなければ、今後コラムにＵＰしていこうと思っています。よろしければ、参考にして下さい。

はじめまして
ジーエンスの篠塚と申します。
ファイアウォールの利用ですが、
物理的に、間に入れれば何とかなるものではないと思います。
利用方法をしっかり検討される事をお勧めいたします。

セキュリティ強化の意味
どのようなデータに対するセキュリティか？
それは、通常どこにおいてあって、
誰が管理し、
利用者は誰で、どこで利用するのか？
等々、、、、

セキュリティに関して言えば、運用管理の取り決めが
無ければ話が進みません。
どうぞ、運用面の管理体制の見直しから入っていけばよろしいかと思います。
おのずと何が必要か？見えてくると思います。

今回セキュリティとおっしゃっていることが個人情報にアクセスできなくするためにどうしたらよいという質問と解釈して回答します。
まず社内でファイヤーウォールを使用するのは、社外の人がエクストラネットからアクセス可能な状態にしている場合でない限り必要ありません。
ファイヤーウォールの特性はあくまでもTCPのフロー、シーケンスチェックの整合性をハードウェアレベルで高速にチェックし、悪意のものからの攻撃を防ぐことです。余程リスクのある外部からの接続や巧妙な手口の攻撃を受ける可能性がない限り必要ないです。
また、たとえファイヤーウォールを入れたとしても、プロトコルレベルでパケットをフィルタリングできる知識がなければ、攻撃に対してスカスカでファイヤーウォールを導入する意味がなくなってしまいます。
送受信先のアドレスやポートレベルでパケットフィルタリング（疎通をとめる）ことを希望されるのであれば、安価で高機能なルーターがたくさんあるのでそちらを利用されるのがよいと思います。この場合、特定のPC（固定IP）からのアクセスを限定させるしかできません。
本当に個人情報へのアクセスを限定されたいのであれば、ファイルを暗号化し、特定の人しか見れないようにネットワークレベルではなく、ファイルでセキュリティを考えるほうがベストだと思います。

NSTSの木村です。

かなり前のご質問なので、ここでは同じような境遇のシステム担当者の方にお答えします。

企業規模や内容から見て、ファイアウォールの導入に関しましては、国内メーカーの高機能ルータで充分だと思います。

でもあなたが、するべきことは情報システム管理だけではありませんよね。
ましてシステム担当者は一人だけなのですよね。

最近、個人情報流出等は会社の存続に係わるような事になりかねません。その場合あなたは一人で責任を負えますか?
あなたが病気で入院などした場合は、誰かが替わりをできますか?
すぐに対応を迫られる時に相談に乗ってもらえる専門家はいますか?

まずは、専門家に現状を調査してもらうべきです。そして経営者と一緒になって問題箇所を洗い出しましょう。

予算的に専門業者と保守契約等ができない場合は、保険会社と相談してイー・リスク対応型の保険に加入するのもいいと思います。

セキュリティ対策は、問題が起こらないようにすることも重要ですが、起こった時のこともイメージしておくべきです。
スポット契約でも、すぐに来てくれる業者があれば、あなたに重くかかるプレッシャーはかなり軽減できます。

私は、これまでに責任と重圧でつぶれていったシステム担当者を多く見ています。リスク軽減をすることが、あなたにとっても会社にとっても一番です。

情報通信インフラのことならNSTSへ

銅さん、こんばんは。

チームデルタの谷口です。

目に見えない敵への備えは、思いのほかご苦労なことが多いですよね。
何をやっても「完全」はないですし。

セキュリティーは厳格なポリシーに従って構築するのが理想ですが、ビジネスである以上、収益とトレードオフであることは否めません。

個人情報の漏洩はシステムを介してよりも人的な事故、あるいは不正により内部で生じるケースが多いのご存知の通りであることとネットワークの規模を前提に現実的なセキュリティーの実践についてお話します。

日々、現状の人員で運用を行われるのであれば、S社（貴社ご選定の機種もこれかも知れませんが）のファイアーウォールの導入がよろしいかもしれません。
最新機種ではIPS（侵入検知/侵入防御）も付加されたようですし、設定が圧倒的に簡単です。
また、各端末へは、アンチウィルス、アンチスパイウェア、IPSを含めた統合プロテクション系ソフトの導入、情報漏えい検知/持ち出し監視ツールの導入をお奨めします。
加えて、アプリケーションサーバがWin系であればソフトIPSが適しているかも知れません。
導入されているアプリケーションの脆弱性の穴埋めに適した製品を選べます。
ファイアーウォールのIPSとは検知レベルが異なりますので機能が重なることはありません。

理想はさておき、規模と機能に限定してお伝えしました。
ご参考になれば幸いです。