第3回 業務ネットワークのセキュリティにおけるチェックポイント

IT・IT製品TOP > Key Conductors > 齊藤 愼仁(アイレット株式会社) > 第3回 業務ネットワークのセキュリティにおけるチェックポイント
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

第3回 業務ネットワークのセキュリティにおけるチェックポイント

ネットワークセキュリティ 2016/03/24

 cloudpackが公開しているセキュリティホワイトペーパーの要点を紹介する連載の第3回目は、業務ネットワークのセキュリティにまつわる部分を解説します。cloudpack事業部は他の事業部とは独立した社内ネットワークを構築しています。AWS Direct Connectなどを含む各種閉域ネットワークサービスを活用して、オフィスとAWSをセキュアに接続し、AWSを社内インフラの基盤にしています。

 特徴的なのは、認証情報を司るサーバーを独立した環境で一元管理することで、極めてセキュリティ強度の高いシステムにしている部分です。この設計や考え方は、御社のデータセンターや事業拠点、部門間における業務ネットワークのセキュリティを考えるにあたり、参考になるかもしれません。

セキュリティレベルで分割されたネットワーク

 まずは図1をご覧下さい。これは弊社のネットワーク構成図です。

図1 ネットワーク構成図

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

図1 ネットワーク構成図

 このネットワーク構成図で恐らく最初に気がつくのは、インターネットに接続する箇所を極めて限定的にして、できるだけ閉ざしたネットワークにしているところでしょう。左上のVPC(バーチャルプライベートクラウド)はAWS上のシステムですが、主に認証とそのロギングを担当していて、東品川データセンター(エクイニクス)を経由して、専用線で弊社の各拠点と接続されています。

 現在、東日本担当の東京拠点と西日本担当の大阪拠点の2拠点ですが、災害等が発生した際に業務が中断しないようにBCP対応を可能にしています。VPNでインターネットからリモート運用する手段は備えていますが、VPNからアクセスできる端末は一度インストールすると再利用不可能なプライベートクライアント証明書認証を行っており、更にはセキュリティスキルの高いスタッフのうち、特に必要だと認められた少数の担当者だけが利用可能です。社外ユーザの利用は全面的に禁止しています。

セキュリティレベルによるネットワーク分割

 東京・大阪の拠点内ネットワークがセキュリティレベルによって分割されているところにも注目して下さい。第2回記事のセキュリティによるエリア分割に対応し、セキュリティネットワーク2ではcloudpackの社員が通常の運用業務が行いやすいよう、無線(暗号化通信)及び有線による接続を行うことができます。

 セキュリティネットワーク3では、cloudpackで最もセキュリティ強度の高いネットワークです。このネットワークでは、お客様のAWS環境の運用業務が行われ、物理的に隔離された専用ルームの専用端末から、有線のみの接続となります。

 なお、来訪者向けには、セキュリティネットワーク1として無線(暗号化通信)だけを提供しています。しかし、こちらは他のネットワークとの物理的な接続経路がなく、cloudpackの情報資産へのアクセス経路はありません。

 最近、標的型攻撃対策として「多層防御」というキーワードをよく目にしますが、これは単にセキュリティツールを多段で構成することだけを意味するわけではありません。万が一、ネットワークがウイルスで汚染された場合でも、被害を受けるエリアを最小限にするためにネットワークを分割することも「多層防御」の1つです。セキュリティレベルに合わせたネットワーク分割と、それぞれにふさわしいアクセス制御を行うことが被害を防ぐ重要なポイントになります。

デジタル証明書による認証を徹底、統合認証システムで認証情報を一元管理

 cloudpackの業務システムでは、ID/パスワードのみの認証は一切行っておりません。デジタル証明書を用いた強固なハードウェア認証とユーザ認証、更にアクセス権を持っているユーザだけが持つ情報を利用する多要素認証を併用しています。認証経路の暗号化やパスワードエラーが繰り返された時のアカウントロックなどの手当ても実施しており、これはISMSやPCI DSSの要求水準よりも大幅に高強度のポリシーとなっています。

 スタッフの認証情報は、統合認証システムで一元管理し、仮に端末が外部のクラウドサービスにアクセスする場合でも統合認証システムでの認証を必須としています。統合認証システムでスタッフや端末からのアクセスを禁止にすれば、即座に全サービスへのアクセスが無効化されます。こうすることで、スタッフの異動や退職・休職時にも速やかな対応が可能となり、情報資産へのアクセスを完全に遮断できる仕組みになっているのです。

 なお、スタッフがお客様のAWS上のサーバーにアクセスする場合には、図1のVPCエリアにある踏み台サーバーを必ず経由するような仕組みをとっています。お客様のサーバーへのアクセス認証鍵は、この踏み台サーバーが持つため、確実に第三者からのサーバーへのアクセスを防ぐことができます。また踏み台サーバーでは、すべての操作をテキスト形式及び動画で完全に記録され、操作の正当性を証明することが可能な状態にしています。

 また、時にはお客様のAWSインフラをスタッフが操作する必要に迫られることもあります。その場合でもAWSマネジメントコンソール、API、AWSアカウント、IAM、アクセスキー・シークレットキーに対するアクセスをcloudpack業務ネットワークからのみ可能にしたうえで、SAML認証によるAWSのIAMロール(権限管理機能)自動発行と、統合認証管理システムを連携した高強度のアクセス制限を行います。

 余談ですが、AWSのシークレットアクセスキーが外部に漏れた事件が海外で報道されています。これは開発者がソフトウェアの開発時に、AWS認証情報をプログラムに組み込んでしまい、そのコードをGitHubのリポジトリに上げてしまったことが原因です。このようなミスは、上記のような認証情報管理の仕組みなどを用いることで予防の一手を打つことができます。

業務ネットワークの監視

 ログが収集されるのは上記の場合のみではありません。cloudpackの業務ネットワークでは、ポリシーに従ってネットワークリソースへのアクセスを追跡・監視し、その記録を事後に変更できないように保護(ハッシュ化)した上でアクセスログとして保存しています。

 加えてIPS/IDSによる不正アクセス対策を施し、ファイル整合性監視システムによる常時監視を行っています。万が一セキュリティに影響のある事象が発生したら、24時間・即時対応可能なスタッフがあらかじめ策定されているインシデント対応手順書に従い、迅速かつ効果的に対応する体制を確立しています。

 また、業務ネットワークでは、常に不正なネットワーク機器の接続を検出できる仕組みを備え、ネットワークの脆弱性検査とインフラ内部及び外部ペネトレーションテストを定期的に行い、セキュリティ強度を適切なレベルに維持しています。

運用業務端末のセキュリティ

 運用業務を行う端末は、当社のファシリティのセキュリティエリア2または3に設置された専用端末か、リモート運用端末の2種類のみです。当然、利用可能なスタッフは制限され、統合認証システムによってアクセスが許可されたスタッフのみが操作が可能です。この操作も監視され、操作ログは保存されます。各運用業務端末は次のようなポリシーで運用されています。

・ウイルス対策ソフト、プログラムについては常に最新を維持する。

・ベンダーが提供するOSや業務用ソフトウェアの修正プログラムは、自動更新に設定されている。

・事前に認められたプログラム以外はインストールできない(ホワイトリスト方式)。

・USBメモリーなどの外部デバイスが利用できない(場合によって対策ツールを用いてリードオンリーで利用する特例はあり)。

・インターネットへの接続については、業務上必要な場合のみ利用することとし、適切なURLフィルタリングの導入により意図しない不正サイトへの接続をブロックする。

・クライアント操作ログを取得する(ログ閲覧や分析にはプライバシー保護の観点から、スタッフが自己判断では行えないようにしています)。
 
 なお、リモート運用端末には端末認証、詳細なログ取得と保存、HDDやSSDの暗号化、のぞき見防止用のスクリーンシートなどの装着といった、更に厳しい制約を課しています。  

 以上、今回はホワイトペーパーの内容から主にネットワークと認証に関わる部分を紹介しました。あくまでもcloudpackの例ですので、業務内容や必要とするセキュリティ強度に応じて参考にしてみて下さい。

 次回は早くも最終回。脆弱性情報に対する対応に関わる部分をまとめます。

連載中・連載予定の記事テーマ

第1回:セキュリティポリシー確立と第三者認証の意義
第2回:セキュリティを支える体制のチェックポイント
第4回:運用上のセキュリティ保持に関するチェックポイント

クラウドを納得して活用するベストプラクティス:セキュリティホワイトペーパー公開中!

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30008611


IT・IT製品TOP > Key Conductors > 齊藤 愼仁(アイレット株式会社) > 第3回 業務ネットワークのセキュリティにおけるチェックポイント

このページの先頭へ

キーマンズネットとは
AWSインテグレーターcloudpack所属(アイレット株式会社)。x86系プロセッサを中心としたサーバーの企画・設計やHPCハードウェアのプリセールスなどに参画した経験を持つ。現在は社内インフラのセクションリーダーを担当。情報セキュリティ管理責任者、個人情報管理責任者、PCI DSS管理責任者を兼務する。

ページトップへ