8. 物理的セキュリティ対策
入退室管理
- 手順
- 来訪者の管理
- 名札の貸出、着用しての行動
- 用紙に訪問先担当者の印鑑をもらう
- 名札、印鑑のある用紙を受付に返却
- 退出
- 日常的に社員が名札を着用することが必要
- 担当者のアテンドが必要
入退室管理システムの機能
物理的セキュリティ対策のガイドライン
- 国際基準:ISO/IEC27002
- 人への対応
- 国内基準:情報システム安全対策基準
- 経済産業省
- 自然災害に対する稼働確保
クラウドサービス利用時の留意点
- 信頼性(耐障害性、耐災害性)
- 入退室管理
- 不正アクセス対策
- 認証方式は要求レベルにあるか
- 端末認証が可能か
- 二要素認証が可能か
- 通信路は暗号化されているか
- 監視やログ機能は要求レベルにあるか
- 認証方式は要求レベルにあるか
- サーバの設置国の法令順守(GDPR等)
- クラウドサービス上のデータ
- 事業者側でのバックアップ方法等の確認
- データ消失時の保証範囲の確認
- 契約終了時のデータの確保
- データの所有権の有無
- インポート/エクスポート機能
- フォーマットの互換性
- データの完全な消去など
- その他
- 拡張性やマネージドサービスが自社の要求に合致するか
- 中長期計画との整合性
- 利用者支援
- 問い合わせ窓口にすぐ連絡がつくか
- 緊急時に契約者が入室可能か
- 事業者の財務基盤
- 経営母体
- 契約者数
- 継続年数
- 拡張性やマネージドサービスが自社の要求に合致するか
- データセンターの評価基準やガイドライン
- FISCの金融機関等コンピュータシステムの安全対策基準
- JDCCのファシリティスタンダード
- Tierレベル(1~4)
- TIA942
- 世界基準
ネットワーク分離
- 社内LANとインターネットに接続できるLANを分離
- 物理的に端末を2台
- 中間LANとその中のファイル転送サーバを使ってデータの受渡を行う
- 1台の端末(論理分離)
- VDI
- 仮想マシン
- 物理的に端末を2台
コンテナ技術
- コンテナエンジンの上にコンテナを立てる
- 仮想化ソフトで複数のハードウェアと同じ環境を作ろうとする仮想化技術に対し、コンテナ技術はOSから必要機能を切り出して隔離された環境を作り出して、その後は独立して稼働させる
- 軽くて速い
- 複製も容易で、構成管理、変更管理、リリース管理に利用できる
VLAN
- 仮想的なLAN
- VLAN対応のLANスイッチを利用して構築する
- ポートVLAN
- LANスイッチのポートごとにVALN番号を設定する
- タグVLAN
- 認証VLAN
- 端末の利用者が接続時に入力するIDとパスワードによって対応するVALNに接続する
- VLAN間をまたがる通信でよくある接続方式
- VLAN IDとIPのサブネットを対応づける必要がある
- ルータ+L2スイッチを用いる場合
- ルーティングテーブルでIPのサブネットとインターフェースを対応させる
- VLAN IDの数だけルータとL2スイッチ間の接続が必要(インターフェースとVLAN IDを対応させる)
- L3スイッチ+L2スイッチを用いる場合
- 両方のスイッチのポートをタグポートに設定すれば接続は一つでよい
- L3スイッチを用いる場合
- ルーティングテーブルでVLAN IDとIPのサブネットを対応させるのみ
無線LANの規格
- IEEE 802.11b
- IEEE 802.11a
- 5GHz
- 54Mbps
- IEEE 802.11g
- 2.4GHz
- 54Mbps
- IEEE 802.11n
- 2.4GHz/5GHz
- 600Mbps
- IEEE 802.11ac
- 5GHz
- 6.93Gbps
- 現在の主流
- IEEE 802.11ax
- CSMA/CA
IEEE 802.11n, IEEE802.11acの新技術
- MIMO
- 複数のアンテナを使って送受信する技術
- 最大でn:4本、ac:8本
- チャネル・ボンディング
- 1チャネルの利用周波数幅を2倍にして利用する
- 最大でn:40MHz、ac:160MHz