端末構成(ネットワーク構成)、セキュリティについて教えてください。

自社では次のような端末でネットワークができているのですが


[ 回線(OCN) 光フレッツ]
  |
[ モデム ] 
  |
[     ] ―― 端末①(会社資料保管端末)
[ ルータ ] ―― 端末②(情報収集用端末)
[     ] ―― 端末③(情報収集用端末)
[     ] ―― 端末④(雑務)


現在はどの端末からもインターネットが閲覧でき、
端末①の会社資料にLANでアクセスが可能な状況です。

良く分かっていないのですが、
この構成だと、インターネット閲覧などで外部から与えられる危険があるのでしょうか?
(ウイルス被害や、リモートアクセスで端末①の会社資料を盗まれたりすることはあるのでしょうか?)

一応セキュリティソフトは、
ウイルスバススター2008で最新の更新を行っています。

もし危険性が高いということであれば、
会社資料(個人情報含む)をウイルス被害や盗難から保護したいので、
対策方法を教えていただけませんでしょうか?

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2008/08/17 18:08:03
  • 終了:2008/08/24 18:10:02

回答(3件)

id:pahoo No.1

pahoo回答回数5960ベストアンサー獲得回数6332008/08/17 18:41:39

ポイント27pt

空欄の部分もあり確実なことは言えませんが、一般論として下記のようなリスクが考えられます。


端末①:モデムと①の間にファイアウォールを設置していなかったり、ファイアウォールソフトなどを導入していないとすると、インターネットから内部のファイルを盗み見られたり改竄される可能性があります。

端末②~④:ルーターの配下にあるものとします。ルータのセキュリティ設定をきちんとしていないと、端末①と同様、インターネットから内部のファイルを盗み見られたり改竄される可能性があります。

id:workzaq1

早速のご回答ありがとうございます。

>端末②~④:ルーターの配下にあるものとします。

 書き方が悪くてすみません(汗)

 ①~④とも同じルータの配下にあるものとして書いておりました。


>>モデムと①の間にファイアウォールを設置していなかったり

モデムと端末①の間に設置するファイヤーウォールを設置したいのですが、

ウイルスバスター2008でファイヤーウォール設定を行えますでしょうか?


>>ルータのセキュリティ設定をきちんとしていないと、端末①と同様、インターネットから内部のファイルを盗み見られたり改竄される可能性があります。

ルータ設定はプロバイダーOCNに行ってもらっていました。

セキュリティ強化については、設定方法がわからないのですが、

OCNにセキュリティ設定の強化を頼むと設定を行ってもらうことができますでしょうか?

2008/08/17 20:35:21
id:pahoo No.2

pahoo回答回数5960ベストアンサー獲得回数6332008/08/17 21:49:29

ポイント26pt

①~④とも同じルータの配下にあるものとして書いておりました。

であれば、①~④とも、ルータのセキュリティ設定に依存します。


ルータ設定はプロバイダーOCNに行ってもらっていました。

セキュリティ強化については、設定方法がわからないのですが、

OCNにセキュリティ設定の強化を頼むと設定を行ってもらうことができますでしょうか?

どの程度のセキュリティ強度にするか指示をしないと、OCNの担当者が設定に困ります。

業務状況が分かりませんが、条件を厳しくするのであれば、下記のようになります。

  1. LANに参加できるPC(MACアドレス)を①~④に限定する。
  2. LAN内ではファイル共有ができるようにする。(OSはWindowsのみですか?)
  3. WAN側(インターネット側)とのやり取りを行うのは、Webブラウザ(http/https通信)だけでよい。必要に応じて電子メール(smtp/pop)も透過してもらうようにしてください。

ルーターで守ることができるのは、あくまで外部(インターネット側)からの攻撃です。

LAN内部の①~④のいずれかが暴露ウイルスに感染するなどすると、内部から外部へ情報が流出してしまうとともに、外部からのリモート操作を受けてしまう恐れがあります。


ウイルスバスター2008を①~④に入れているということなので、とりあえずは、ウイルスバスターを最新の状態に保ち、警告が出ていないかどうか確認してください。

また、ウイルスバスター2008には「パーソナルファイアウォール機能」がありますので、これをONにすることで、内部から外部へ不正な接続がないかどうか、ある程度は確認できます。

この状態で業務以外のソフトを入れたりしなければ、それほどリスクは高くならないと思います。


※設定された回答回数の上限になりましたので、これにて失礼します。

id:pbg4667 No.3

pbg4667回答回数98ベストアンサー獲得回数142008/08/17 21:04:10

ポイント27pt

リスクが高いか低いかは、使用目的や扱う情報、使用者の人数などさまざまな事が絡んできますので、一概には言えません。

たとえば、個人宅の環境としては、ルーターを介してLAN側はプライベートアドレスですし、市販のセキュリティースイートを使用しているという事で十分という事になると思います。

さて、企業の場合、万が一情報が漏れた事を考えた場合に受ける被害とセキュリティーにかけるコストの費用対効果も視野に入れた方が良いでしょう。

 

前置きが長くなってしまいましたが、即座に出来る対策としては、端末①でのインターネットへのアクセスは控えるべきでしょう。

インターネットへアクセスするのはOSなどのアップデート程度に限定し、普段インターネットを利用する端末は別のものを使用しましょう。

 

もう少し、セキュリティーを高めるのであれば、1台ルーターを追加して、そのルーターに端末①を接続し、IPアクセス制限(ルーターメーカーによりACLやIPアクセス制御リストなどと呼ばれています。家庭用ルーターなどでは、簡易ファイヤーウォールとかの表記の場合もあり。)でプライベートアドレスもしくは限定の端末からのIPのみを通過させる事で、直接インターネットへ繋げない様に出来ます。

 

[ 回線(OCN) 光フレッツ]

  |

[ モデム ] 

  |

[ ルータ1] ―― 端末②(情報収集用端末)※192.168.0.0/24

[     ] ―― 端末③(情報収集用端末)

[     ] ―― 端末④(雑務)

  |

[ ルータ2] ―― 端末①(会社資料保管端末)※192.168.1.0/24

 

この場合、IPアクセスリストを扱えるルーターであれば、それほど機種を選びません。

 

さらにセキュリティーを増すなら、現状お使いのルーターを、上図のルーター2へ使用し、新たにルーター1の場所へはUTM(ファイヤーウォールでも良い)などを使用し適切な設定を行えば、ほぼネットワークからの脅威という点では問題ないでしょう。(あくまでも機能的に見て。人間が操作するものである以上、過失や故意による流出もあります。)

 

UTM(unified threat management):ITpro

http://itpro.nikkeibp.co.jp/article/REVIEW/20070116/258752/

 

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません