クラウド化でのセキュリティについて。


社内のwikiと共有フォルダ(samba)を、
WEB上の専用サーバーに移行しようと思っています。
データの一元化で、どこからでも作業しやすくするためです。
他社クラウドでなく、自前でデータ管理をしたいと思っています。

ここで、セキュリティ対策が必要になります。

basic認証で調べていて、digest認証がありました。
しかし、それで十分なのかがよくわかりません。

イメージとしては、
ドロップボックスと、グーグルサイト(wiki代わり)を、
どこからでも複数人で使えるイメージです。


セキュリティ対策は際限ないと思います。

その中、必ずしておくべき対策があれば、アドバイス頂けると助かります。

回答の条件
  • 1人5回まで
  • 13歳以上
  • 登録:2010/08/31 20:01:57
  • 終了:2010/09/07 20:05:03

ベストアンサー

id:monyot No.1

monyo回答回数146ベストアンサー獲得回数182010/09/01 02:29:40

ポイント27pt

コメントでも書かれていますが、盗聴されると困るデータを扱うのであれば、最低限 SSL によるデータの暗号化は必須でしょう。

暗号強度としては、常識的には 128 ビット以上の暗号を使うべきです。

次に、「どこからでも」というのが、

①極論すると、ネットカフェなどの端末からでも、という意味で、端末も特定できないのか

②たとえば各社員がノートPCを持ち歩いて、どこの場所からでもだが、端末は特定できる

のいずれなのかによりますが、後者であれば、クライアント認証を用いることで、あらかじめ証明書を仕込んだ端末以外からのアクセスを拒否することができますので、かなり安全になりますが、運用はそれなりに面倒になります。

これ以上ですと、専用ハードウェアを使って、とか、オンラインバンキングのようにワンタイムパスワードを使って、といった方向になりますので、「際限無い」範囲になってくると思います。

またどこからでも、というのが、さまざまな拠点から、という意味であれば、各拠点のIPアドレス以外からのアクセスを拒否するのが確実ですね。

ですので、「どこからでも」という要件を具体化すると、どこまでのセキュリティ対策が常識的な範囲で取れるかが決まってくると思います。

id:onigirin

どうもありがとうございます。

SSL128ビット以上とのこと、参考になります。

自前か、ベリサインなどの会社のものですね。

「どこからでも」というのは、基本的に自前のノートPCから、wifiやwimaxなどで、ということです。

自分のPCやiphoneを使って、カフェや例えば海外にいても、仕事ができる、というようなイメージです。

他人の端末を使うことは想定してません。

クライアント認証で、証明書を発行する形式ですね。

仕組みはまだよくわかりませんが、SSLを発行してその証明書をインストールさせるような形なら、

初めの手間だけですむので、試せそうです。

PCが限定されていて、SSL128ビットでDigest認証か、mixiのようなID・パスワードでログインする形式で、試してみようかなと思います。

あとは、各端末のキーロガー対策などで、一般的なクラウドの安全性までいけば、安心できそうです。

2010/09/01 14:00:39

その他の回答(2件)

id:monyot No.1

monyo回答回数146ベストアンサー獲得回数182010/09/01 02:29:40ここでベストアンサー

ポイント27pt

コメントでも書かれていますが、盗聴されると困るデータを扱うのであれば、最低限 SSL によるデータの暗号化は必須でしょう。

暗号強度としては、常識的には 128 ビット以上の暗号を使うべきです。

次に、「どこからでも」というのが、

①極論すると、ネットカフェなどの端末からでも、という意味で、端末も特定できないのか

②たとえば各社員がノートPCを持ち歩いて、どこの場所からでもだが、端末は特定できる

のいずれなのかによりますが、後者であれば、クライアント認証を用いることで、あらかじめ証明書を仕込んだ端末以外からのアクセスを拒否することができますので、かなり安全になりますが、運用はそれなりに面倒になります。

これ以上ですと、専用ハードウェアを使って、とか、オンラインバンキングのようにワンタイムパスワードを使って、といった方向になりますので、「際限無い」範囲になってくると思います。

またどこからでも、というのが、さまざまな拠点から、という意味であれば、各拠点のIPアドレス以外からのアクセスを拒否するのが確実ですね。

ですので、「どこからでも」という要件を具体化すると、どこまでのセキュリティ対策が常識的な範囲で取れるかが決まってくると思います。

id:onigirin

どうもありがとうございます。

SSL128ビット以上とのこと、参考になります。

自前か、ベリサインなどの会社のものですね。

「どこからでも」というのは、基本的に自前のノートPCから、wifiやwimaxなどで、ということです。

自分のPCやiphoneを使って、カフェや例えば海外にいても、仕事ができる、というようなイメージです。

他人の端末を使うことは想定してません。

クライアント認証で、証明書を発行する形式ですね。

仕組みはまだよくわかりませんが、SSLを発行してその証明書をインストールさせるような形なら、

初めの手間だけですむので、試せそうです。

PCが限定されていて、SSL128ビットでDigest認証か、mixiのようなID・パスワードでログインする形式で、試してみようかなと思います。

あとは、各端末のキーロガー対策などで、一般的なクラウドの安全性までいけば、安心できそうです。

2010/09/01 14:00:39
id:monyot No.2

monyo回答回数146ベストアンサー獲得回数182010/09/01 23:15:01

ポイント27pt

自前(特定)のPCを使う前提であれば、技術的にはクライアント認証は可能ですね。

証明局は自前でも、ベリサインなどの商用であっても、技術的な強度は変わりません。ただし、運用の手間は相応に掛かりますので、ご質問の記載内容から判断すると、業者に任せたほうが無難ではないかと思いました。

id:onigirin

どうもありがとうございます。

SSLクライアント証明書、グローバルサインで見つけました。

費用と管理の手間の天秤ですね。

その一歩手前として、SSL128ビットでのID/パスワードログインで

少人数で試験運用してみて、規模が大きくなりそうなら証明書発行、というステップが良さそうですね。

2010/09/03 15:19:13
id:hanako393 No.3

hanako393回答回数1142ベストアンサー獲得回数872010/09/04 23:00:24

ポイント26pt

>PCが限定されていて、SSL128ビットでDigest認証

十分だと思いますね。

IPアドレス制限とか、メール認証とかも併用すればどうでしょうか?

id:onigirin

どうもありがとうございます。

IPは固定環境からのアクセスにならないと思うので、ホスト名で一部制限してもよさそうですね。

メール認証は、ID発行時によくある形式のものなら、面白そうですね。

ずっといろいろ調べていると、OpenVPNで解決できる気がしてきました。

まさにSSL+クライアント認証のようなので、試してみようかなと思ってます。

2010/09/06 11:39:16
  • id:http4799
    大した内容では無いのでコメント欄に書き込みます。ポイントは不要です。

    Basic認証では、IDとパスワードを「:」記号で区切って平文のまま送っているのにすぎませんので、もし、回線を流れるデータを悪意ある人が覗いた場合、IDとパスワードがバレバレになってしまうことがあります。
    Basic認証を使うならば代わりにDigest認証を使うべきです。
    Digest認証は、パスワードをハッシュ化して送信するので、もし途中経路で回線上を流れるデータを覗き見したとしても、パスワードそのものはハッシュ化されているので、パスワード解析は限りなく不可能に近いです。
    但し、上の対策では、パスワードを暗号化しているのみですので、データそのものは暗号化されずに流れています。
    心配ならば、自筆証明書でもいいので、SSLを導入すべきです(自筆証明書でも暗号化通信はされますが、本人証明には使えません。また、自筆証明書を使う場合は、SSL領域にアクセスする度に警告が表示されます)。

    但し、固定パスワードですと、ブルートフォースアタックの危険もありますし、キーロガーでパスワードを盗まれることがあります。
    RSAセキュリティなどのワンタイムパスワードを導入すると安全性が高まります。
    また、最近では、ウイルス対策ソフトにアンチキーロガー機能(キーロガーの動作を無効にする機能)が付いていたりするので、それを活用することも出来ます。

    但し、出先のパソコンには、何を仕掛けられているのか分からないのが現実です。
    インターネット上にデータを置くということは、盗まれる危険もあることに注意してください。

    お役に立てれば幸いです。
  • id:onigirin
    どうもありがとうございます。

    mixiなどの大手サイトでも、
    基本的にSSLではない方をデフォルトログインにしているので、
    SSLの必要性はどうなんだろう、とずっと気になっています。

    Digestでもデータが暗号化されなければ意味がないですね。
    SSLが良さそうですね。

    RSAは調べてもフリー導入方法が見つからなかったので、
    パスワード突破時に備えて、アクセス権限をアカウントごとにしておくと良さそうですね。
    フルアクセスは固定IPのみ。

    サイボウズやgoogle appsなどのクラウドで導入されているセキュリティ対策をしておけば、
    とりあえずは大丈夫かな、と思っています。

    とても参考になりました。
    ありがとうございます。

この質問への反応(ブックマークコメント)

トラックバック

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません