社内向けイントラネットのサイトを作成しています。

コンピューターの管理者から「アドレスを公開しなければパスワードをかける必要はない」といわれましたがそうでしょうか?
ちなみに設定されたアドレスはhttps://www.xxxxとなっていてSSLはついています。
しかしグーグルのデスクトップ・サーチの設定項目には”https://も検索する”というものがあり、不安になっています。
(WWWというのも変な気がするのですが...)

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2005/02/23 06:05:06
  • 終了:--

回答(11件)

id:sight No.1

sight回答回数69ベストアンサー獲得回数12005/02/23 07:49:57

ポイント13pt

http://www.hatena.ne.jp/1109106306#

人力検索はてな - 社内向けイントラネットのサイトを作成しています。 コンピューターの管理者から「アドレスを公開しなければパスワードをかける必要はない」といわれましたがそうでしょう..

「アドレスを公開しなければ」というのは違うと思いますが・・・

そもそも、アドレスはさておき、社内ネットワークからのみ参照できるようにネットワークで制御されてる(F/W等で)のであれば、当然問題ないですね。

あと、SSLも、サーバ側認証や単なる通信経路の暗号化のためではなく、クライアントに証明書配ってクライアント認証目的で使っているのでしたら、(それこそパスワードみたいなものなので)証明書を持たないクライアントからアクセスされることはないです。

id:Bie

サイトはアクセス制御されておらず、自宅からでも見ることができるのです。

また、クライアントには証明書を配っていません。誰でも証明書をインストールできる状態です!

2005/02/23 08:01:28
id:bebowrock No.2

bebowrock回答回数88ベストアンサー獲得回数02005/02/23 08:20:07

ポイント13pt

イントラネット内の情報が漏れたとして、パスワードをかけていなかったのならば、管理者が責任を問われることになります。

サイボウズなどの代表的なグループウェアは全部パスワード付きですよね? やはりパスワードはつけるべきだと思います。

id:Bie

私もそのように思うのですが、管理者へ反論する論拠があればありがたいのですが。

2005/02/23 08:27:05
id:uemuri No.3

uemuri回答回数107ベストアンサー獲得回数02005/02/23 08:36:16

ポイント13pt

パスワードは絶対必要だと思います。

外部からアクセス可能である以上、

部外者がイントラにアクセスされる危険性は

かなり高いと思います。

また、社内の人が、外部のPCからイントラにアクセスし、

アドレスがキャッシュに残ってしまうとかすると、第3者がサーチエンジンからではなく、

たまたま、イントラのアドレスにアクセスしてしまうことも

十分考えられると思います。

id:Bie

仰せのとおりだとおもうのです。

2005/02/23 19:43:18
id:Kumappus No.4

くまっぷす回答回数3784ベストアンサー獲得回数1852005/02/23 08:51:59

ポイント13pt

http://www.atmarkit.co.jp/fnetwork/rensai/dns01/dns01.html

DNSの仕組みの基本を理解しよう

FWがないということはイントラネットじゃないと思いますよ。単に外に置いたサーバを社内の人が使うというだけでは…。

まず、社外からwww.xxxxでアクセス可能ということはドメイン名前を取得しており、さらにDNSに登録していることになりますね。つまりこの時点で少なくともDNSサーバには名前が公開されています(もしそうでなければGlobalなIPが衝突してしまう恐れがあり社会の迷惑になります)。それに、社員の誰かがアクセスしてるところを第三者に見られないという保証もないですしね。

たとえ名前がわからなくても、所詮IPアドレスというのは限りがあるので、総当りで反応があればサーバの存在がわかってしまいます。

その後はじっくり開いているポートを調べていって、いろいろ攻撃が可能です。

http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040720/147480/

Webサーバー「Apache」のSSLモジュールにセキュリティ・ホール - ニュース:ITpro

ちなみにSSLにもたまにこのようにホールが見つかるので、安心できません(もっともこの場合はパスワードがあってもダメですけど(笑))。

id:Bie

あ・ありがとうございます(^^;

2005/02/23 19:45:37
id:sight No.5

sight回答回数69ベストアンサー獲得回数12005/02/23 09:21:31

ポイント13pt

http://www.hatena.ne.jp/1109106306

人力検索はてな - 社内向けイントラネットのサイトを作成しています。 コンピューターの管理者から「アドレスを公開しなければパスワードをかける必要はない」といわれましたがそうでしょう..

うーん。そうですか。

そもそも、社内ネットワークからアクセスできなくて良い(業務上の自宅や出先からのアクセスの必要性がセキュリティリスクよりも低い)のでしたら、Internet経由でアクセスさせるべきではないですし、必要がある場合でもやっぱりInternet経由ではなく、ダイヤルアップのRAS経由にするべきじゃないでしょうか。

どうしてもInternet経由からのアクセスが必要な場合でも、できるならパスワードで済ませてしまうのではなく、SSLやIPSECでVPN化した方がいいですね。

予算諸々の都合から外部公開用のWebサーバにイントラネット用のWebアプリも載せちゃった、みたいな形なのでしょうか。

もちろん、「イントラネット」で扱っている情報の質にもよるのですが、セキュリティは、ただ強くすればいいものでもないですから、予算、手間、リスク、利便性などのバランスを取る必要があります。

今回のご質問の場合、そのイントラネット、パスワードをかけてないことが問題なのではなく、ちゃんとした設計がされていないのが問題なのではないでしょうか。パスワード云々というのは、その一端でしかないような気がします。

何れにせよ、「アドレスを公開しなければパスワードをかける必要はない」と言っているということは、不特定の第三者にアドレスが知られるとマズイような内容を扱っているわけですよね?

で、あれば、管理者さんの主張はまったく意味をなしていないと思います。

そもそも、Internetから参照できるパブリックなIP持っているのならば、IPにしろURLにしろ不特定の第三者からみつけられて当然ですから。

埒があかないのでしたら、直接管理者さんに掛け合うのではなく、上の人に世間話ついでに連日のようにニュースになる他社のセキュリティ事故の話をして、「そういえばうちのは大丈夫ですかね・・・」みたいに持っていったら如何でしょう。

id:Bie

対象は純粋な社内だけではなく、関連会社である営業支店の営業マンも対象にした販売促進内容を含んでいるので、確かにパスワードをかけない方が営業効果はあがるのですが。

しかしながら、ドメインをこのイントラネットのために新たに取得してきたとき、wwwがついているのを知って、オドロキました。

管理者は頭が整理されていないように思います(^^;

2005/02/23 19:51:45
id:english No.6

english回答回数304ベストアンサー獲得回数02005/02/23 09:34:36

ポイント13pt

自宅からでもアクセスできるということですから、問題ですね。

そのイントラネットにどのような情報があるか分かりませんが、たとえば外部のサイトへのリンクなどがあるならば、その外部のサイトにreferer(参照元URL)として、アクセスログに残ります。

アクセスログに、IntranetのURLが残るわけです。たまにアクセス解析などを見ていて、クリックしても「サーバが見つかりません」というエラーになる場合がありますが、それはちゃんとアクセス制御している事例と言えます。逆に言えば、アクセス制御していなければ、アクセスログのrefererからURLが漏れることがありえます。

id:Bie

たしかにそうですね!

そのとおりです(・・!

2005/02/23 20:06:19
id:chibikkoman No.7

ちびっこまん回答回数89ベストアンサー獲得回数62005/02/23 09:34:42

ポイント13pt

http://www.ipa.go.jp/security/ciadr/law199908.html

不正アクセス行為の禁止等に関する法律

パスワード等によるセキュリティがかかっていない場合単なる公開WEBと同じなので 不正アクセスをとうことすら難しいとおもいます。そうなると当然セキュリティを考慮しない情報システム部門(管理者)の責任が当然社内で問われてしまうとおもうのですが?

アドレスの非公開はセキュリティをかけたことにはなりません。

id:Bie

実は、元はといえば、システム管理者(IBMのAS400が本業)の仕事に不満を覚えて、私がイントラネットを立ち上げようとしたことに端を発しているのです。

設定は彼なのに、イントラネットの管理者は私ということにされています。姑のいぢめを感じています...(考えすぎかもしれませんが)

2005/02/23 20:19:50
id:showme No.8

showme回答回数18ベストアンサー獲得回数12005/02/23 11:48:58

ポイント13pt

イントラネットとはいえ、そのサイトを利用できるパソコンの設置場所に、他社の社員(運送会社等)がある程度自由に出入りすることはありませんか?

パスワードをつけなければ、利便性の向上に繋がるといった観点もありますが、YAHOOなどの情報漏洩事例を見てもわかるように、情報漏洩の主たる要因は社内からとなっております。ログ、パスワードを表面上付けておき、管理、記録しているからと社内に牽制する意味でもつけるべきでしょう。

少し余談になりますが、・・・

私自信が、コンピュータ管理者の立場なのですが、社内イントラネットに関しては、パスワードの他、放置時の時間制限による自動ログオフなどセキュリティ対策として打ち出し実践しております。過度の対策は業務に支障をきたすとも取れますが、ルール、規約、罰則といった社内整備が充実し、社外にその情報が目に触れる環境がないという状態がたもてないなら、社員牽制が必要不可欠です。

個人情報保護法施行に先駆け、情報管理規定、セキュリティポリシーなどをコンピュータ管理者、総務部門などで策定されている場合、その内容に準拠していることが必要ではないでしょうか。

id:Bie

個人情報保護法は梃子になりますね。

社員の写真なども掲載していますので。

ありがとうございます。

2005/02/24 18:01:16
id:ex_hmmt No.9

ex_hmmt回答回数56ベストアンサー獲得回数02005/02/23 13:55:08

ポイント12pt

Operaを使ってると、GoogleのBotが(広告表示用ですが)飛んできますし、さらに、誰かがもし不用意にリンクとかをしたなら、Googleとかが拾うでしょうから、パスワードをかけるなりの対策は当然だと思いますが…

id:Bie

なるほど!

勉強になります。ありがとうございます。

2005/02/24 18:02:59
id:munet56 No.10

munet56回答回数3ベストアンサー獲得回数02005/02/23 16:16:30

ポイント12pt

http://www.atmarkit.co.jp/fsecurity/rensai/webhole01/webhole01.h...

@IT:Webアプリケーションに潜むセキュリティホール(1)

危険な状態だと思います。管理者の方にリスクが潜んでいることを気づいてもらえればよいのだと思います。このサイトはWebアプリケーションを取り上げて説明していますが参考になるかと思います。

http://www.atmarkit.co.jp/fsecurity/special/17fivemin/fivemin00....

5分で絶対に分かるファイアウォール

あと、初心者向けっぽい作りではありますが、セキュリティ上役立つ情報が満載のこのサイトも紹介致します。

id:Bie

とても参考になります。

2005/02/26 06:29:57
id:icchan0000 No.11

icchan0000回答回数85ベストアンサー獲得回数52005/02/23 19:47:00

ポイント12pt

>サイトはアクセス制御されておらず、自宅からでも見ることができるのです

確認ですが、これは本当ですか??

今回ターゲットとなるWEBサーバは、社内にあるんですか?社外ホスティングとかですか?

サーバが社内にあり、かつ外部から誰でもアクセスできる、というのはちょっと考えにくいです。

サーバが社内にあるのであれば、外部からのアクセスはきっと制御されているのではないですか?

そうであれば、アドレスさえ教えなければ、という上司のご判断も、あながち不当なものとは思いません。

ホスティングなどで、サーバ自体が外部にあるのであれば、検索ロボットのサーチの対象になり、誰でも見れる状態になるでしょう。

ちなみに「デスクトップ・サーチ」とは、自PCのハードディスク内を検索する機能であって、イントラネットとは直接は無関係です。

id:Bie

サーバーは社内にあります。

外部からはさっさと誰でも入れるのですが、社内からはブラウザーにIP設定を加えないと入れないという不思議な設定です!

デスクトップサーチの件、ありがとうございました。私の勘違いでしたね。

2005/02/26 06:49:14
  • id:sight
    いくつか補足を。

    >また、クライアントには証明書を配っていません。誰でも証明書をインストールできる状態です!
    すこしごっちゃになっていますが、SSLは単に一つの技術なので、使われ方はひとつではありません。
    「ダレでもインストールできる」ということは、接続しているサイトが、(悪意のある偽者のサーバではなく)間違いなく貴社のサーバのものだと証明するための「サーバの証明書」です。
    クライアントに証明書を配って、サーバがその証明書を持っているクライアントのみを認証する使い方もありますが、同じSSLの技術を使っていても、目的が異なります。

    >ドメインをこのイントラネットのために新たに取得してきたとき、wwwがついているのを知って、オドロキました。
    「イントラネット」のために(グローバルな)ドメインを取得してくる、というのは言葉の意味的にそもそも矛盾していますので、そのまま本当ならばかなり意味がわからない行動です。
    ただ、wwwの部分は、ハッキリ行ってどうでもいいのです。
    通常、レジストらからのドメイン取得は、xxx.co.jpのような感じでもう一階層上までです。
    いちばん下位の、ホスト名やその別名に当てはまる部分は、wwwでも、intraでも、ドメインを取得した組織が好きに決めればいいことです。
    もちろん、自組織のDNSサーバに登録する必要はありますが、イントラ向けにwww.xxx.co.jpというアドレスを設定して、このアドレスへの問い合わせは内部からしか答えないようにしてもなんら問題ありません。

    >サーバーは社内にあります。
    >外部からはさっさと誰でも入れるのですが、社内からはブラウザーにIP設定を加えないと入れないという不思議な設定です!
    これは、おそらく、DMZにあるのでしょうね。
    内部からインターネットに接続するには、F/Wが間をふさいでいて、プロキシを通る必要があるのではないですか?
    で、このサーバは内部からの接続には応答しない設定なのでしょう。
    イントラサーバとしてみるとヘンですが、社外公開用のWebサーバとして見れば、わりとよくある設定です。


    いずれにせよ、業務内容、サーバの本来の用途、扱っているデータがそれに合っているか、ポリシー、技術的事項に関して双方とも中途半端な理解のままやりとりしても余計に話がこじれてしまうと思うので、管理者の方の考え方もじっくり聞いて理解しないとですね。
    単に反論しても建設的ではありませんし、上記のような要素しだいでどのような設計をするのが望ましいか、全くことなってきますので、そのまま適用できる答えははてなでは得られないと思います。

    #しかし、とりあえず、「イントラ」ネットとはいえませんよね・・・ぜんぜん「イントラ」じゃない・・・。
     聞けば聞くほど、社外公開用のWebサーバな作りです。
     用途が公開用のWebサーバとすれば、特別間違った部分は見つからないのですが・・・
  • id:danielocean
    色々と、質問も回答もあやふやですね・・・2005年の質問ですが。
    これを見た人が混乱するかもなので、追記コメントを入れておきます。


    まず、質問者の環境と要求仕様を振り返ってみますと。
    1.社内で使うらしい
    2.社外で、関連会社(または取引先?)の営業マンが使うらしい

    続いて、上記のやりとりから、現在のサーバの設置状況を推測すると
    1.ドメインは取得済み
    2.自宅から見れる→おそらく公開前提の設定になっている
    3.筐体は社内にあるが、内部から見るにはIPアドレスの追加設定が必要→DMZで設置?
    ということで、社内設置だけど社外側ネットワークにあり、かつ社内のネットワーク設定がぐちゃぐちゃですね。


    なので、イントラで探してこの記事を読みに来た人は何の参考にもなりません。
    代わりに、簡単にイントラ構築について書いてみます。もちろん、外部の関係者だけに見せることも含め。
    ちなみに、サーバを実際に置く位置はこの際社内だろうがデータセンターだろうが何も変わりは無いです。単に気持ちの問題。

    1.IPアドレスによる制御
    一番楽です。要するに、そのサイトを閲覧するオフィスのIPアドレス(固定である必要があります)を
    全てアクセス許可の設定(具体的にはApacheか、あるいはiptableか)を行えばOKです。
    セキュリティの確保は、とりあえずWebをSSL化したらいいんじゃないかな!

    2.VPNによる制御
    これはSSL-VPNで代用しても構いませんが、要するにアクセスする回線全体をセキュアにするものです。
    いわゆる社内向け広域LANみたいなものはこういう方式を取ります。
    昔の名称で言えばNTTメトロイーサ、今で言うとフレッツオフィスなんかがこれに該当しますが。

    3.ID/PWによる制御
    これはWebサイトに直接仕込めば良いので一見簡単に見えますが、
    色々と攻撃されやすかったりID/PWが漏れると処理が大変。
    ただ、1と2で起こるデメリット「モバイルから使いづらい」はこのパターンには入らないですね。


    ま、いずれにせよ、設定も要求もめちゃくちゃですが、手はいくらでもあります。
    ので、大きく上記の3パターンから検討すると良いと思います。


    特に、この手の情報を探す方は大きくてもせいぜい従業員数100名~200名の企業だと思いますので
    イントラって言っても、営業情報とかスケジューラーとか作業予約リストの類だけだと思うんですね。
    であれば、パッケージものを使うより構築した方が安い場合もあります。
    ただしほんとにベーシックなスケジュールとか見積稟議とかだけなのであれば、
    例えばサイボウズ導入とかで解決できるので、あんまり尖らず色々検討するとよいと思いますよ。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません