6. リモートアクセス
持ち出し管理規定(推奨)
- 電子メールは保存しない(IMAP)
- 重要データは保存しない(サーバ保存)
- シンクライアントとか
- 利用者認証機能
- 確実に利用者認証ができていることを上司が確認
- 暗号化
- 持ち出し申請管理の徹底
- 申請書を用いる
- 口頭での許可はしない
- RASへのアクセス記録を定期的に本人宛に電子メール送付する
- バックアップ
- ウイルス対策(PDA)
- パーソナルFW
- パターンファイルをリアルタイムに更新する
- のぞき見防止フィルタで盗み見対策
- 社内ネットワークに接続するときは検疫ネットワーク等を利用する
盗難・紛失時の対応
- 利用者は直ちに事実を報告
- 管理者は詳細ヒアリング、漏洩リスクを判断
- リモートアクセスのID、パスワード等を一時的に利用停止
- 紛失中に当該IDからアクセスがあるかどうかサーバやFWのログをチェック
- 戻ってきた後、操作履歴やログをチェック
- 情報漏洩やインシデントの発生有無を最終判断し報告書にまとめる
- インシデントが発生していたらインシデント対応プロセスに移行
- 情報セキュリティ委員会で再発防止策を検討
BYOD
- Bring Your Own Device
- メリット
- 会社は初期コスト(端末購入費等)、運用コスト(通信費、保守費等)がかからない
- 従業員は2台持ちの解消、使い慣れた端末の解消、好きな機種の利用ができる
- 特定機種に脆弱性が発見されても、すべての端末が使えなくなることはない
- デメリット
- 会社での一元管理が困難
- 脆弱性の一括修正が困難
- 私的データと会社で利用するデータが混在
- セキュリティ
ディスクやUSBメモリの暗号化
- 電子政府推奨のAES(鍵長256ビット)、CCのEAL4レベルが安全とされている
- フルディスク暗号化方式
- 仮想ディスク暗号化方式
- 仮想的な暗号化領域(コンテナ)を作成し、仮想ディスクとして利用する
- マウントするときに認証が必要だが、一度認証をパスすると一定時間は意識せずに使える
- 仮想ディスクに書き込むと自動で暗号化され、コンテナ以外のところにコピーされると自動で復号される
- フォルダ・ファイル暗号化方式
- TPM
- Trusted Platform Module
- PCに内蔵されるセキュリティチップ
- 耐タンパ性を持ち
- 鍵ペアの生成と格納
- ハッシュ値の計算
- 乱数生成
VPN
- 機能
- 暗号化
- 通信回線上を流れるパケットを暗号化
- 完全性検査
- 通信途中での改ざんを検知
- トンネル化
- 本来のパケットに新しいヘッダをつけて通信するなどしてカプセル化
- 暗号化
- プロトコル
- PPTP
- IPsec
- IPレベルでVPNを実現するプロトコル
- IPのバージョン4ではオプション、IPv6では標準仕様
- 通信モード(暗号モード)
- トンネルモード
- IPパケットをヘッダごと暗号化するため、透過的で安全
- トランスポートモード
- IPパケットのデータ部(TCPヘッダとデータ部)だけを暗号化
- セキュアなホスト間でのエンドツーエンドなどに用途が限られる
- トンネルモード
- プロトコル
- ESP
- Encapsulating Security Payload
- 暗号化と認証が可能
- AH
- Authentication Header
- 認証のみ
- ESP
- 認証モード
- トンネルモード+ESP
- SSL-VPN
- SSH
シンクライアント
- ネットワークブート型
- 端末起動時にOSやアプリケーションを端末に送って、端末側で動作する
- 起動時にネットワークに負荷がかかる
- 画面転送型
- サーバベース方式
- 1台のサーバにある環境を共有する
- アプリが対応している必要がある
- ライセンスに課題
- ブレードPC方式
- ブレード(CPU等を配置した基盤)一つで1端末
- コストがかかる
- VDI方式
- サーバに仮想化ソフトをインストールし、その上で仮想的に端末ごとの環境を維持管理する
- H/Wは共通でもOSやアプリは端末の数だけ必要
- サーバベース方式
- メリット
RADIUS
- インターネット以前はリモートアクセスは公衆回線やINS回線で、アクセスポイントのアクセスサーバ(Remote Access Server)に電話をかけて接続していた
- ダイヤルアップ接続
- プロトコルはPPP
- 認証機能はPAPやCHAP
- 通信事業者のようにアクセスポイントが全国に分散している場合、1か所に認証サーバを設置し、アクセスポイントとは別に管理することで一元管理する
- この時に、個々のアクセスサーバと認証サーバ間の通信プロトコルとして使われるのがRADIUS(Remote Authentication Dial-In User Service)
- 認証サーバにRADIUSサーバ、各アクセスサーバにRADIUSクライアントの機能を持たせれば、接続要求のあったクライアントを認証サーバで認証できる
- IEEE 802.1X認証などで使われる
IoT機器
- 特有の性質とリスク
- IoTのセキュリティ対策
- IoT機器の製品設計時に配慮すること
- 耐タンパ性
- 故障時や想定しない接続(不正アクセス)時に対し、フェールセーフを基本とする
- 不正利用に対しては実行可能なプログラムを制限する
- 通常使用I/F、保守用I/F、非正規I/F別にセキュリティ設計をする
- EDSA認証
- Embedded Device Security Assurance
- 制御機器を対象としたセキュリティ評価制度
- 機器等がどのような状態かを把握し、記録する
- 保守
- 不正アクセスに備える
- 更新プログラムの確実な実施
- 遠隔で行う場合には十分な不正アクセス対策が必要
- 自動アップデートの場合は、性能の影響がないか、問題があったときに自動バージョンダウンができるかどうかを検討する
- 廃棄時のデータの確実な消去
- IoT機器の製品設計時に配慮すること