訓練生用PCのネットワーク設定で困っています。


私の務めている施設ではしょうがいのある方に対しITの職業訓練を行っております。
セキュリティの問題から訓練生とstaffのPCは別networkに分けてあります。

現在、訓練生のPCはwebの閲覧とOffice学習が主で、メールは使えないのですが、
訓練の一貫としてメールが必要という意見があります。

しかし、訓練生が自由にメールを送受信すると、セキュリティの問題があります。
そこで、訓練生のNetwork内部に内部でしかメールの送受信ができないサーバーを設置し、
そこへ訓練生がメーラーでつなぐという方法でメールを提供しようと考えています。

しかし、この方法では優秀な訓練生などが、メーラーの設定を自分で変更して、
外部のメールサーバーに繋いで、Networkの外とメールを送受信するのではないかという不安があります。
(もちろん、webが使える時点でwebメールを使われる可能性もありますが)

誰かが、設定を変更しても外につながらないようにしたいのですが、
それにはどうしたらいいでしょうか?
ルーターの25と110番ポートを閉じれば、問題はなくなるでしょうか?
皆様に是非知恵をお借りできれば、幸いです。

回答の条件
  • 1人5回まで
  • 登録:
  • 終了:2013/11/25 01:55:20
※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

ベストアンサー

id:Sampo No.1

回答回数556ベストアンサー獲得回数104

ポイント80pt

ポートを閉じただけでは無理です。
メールサーバ(あらかじめ自分でどこかに立てておく)の側で待ち受けポートを80番や443番にしてしまえばいいだけですから。
(自分が職場でやっていることだったり…)

SMTP/IMAP/POPサービスを完全にシャットアウトするには、インターネット接続そのものを切断して、WWWに関してだけプロキシサーバ経由でアクセスできるようにします。

さて、これで一応回答にはなっているのですが、本当にセキュリティのことを考えていらっしゃいますか?

ご自分でもお気づきの通りWebメールサービスは無数にあり、これらをすべて止める方法はありません。
また、データファイルの送受信ならWebメールを使う必要さえなくDropBoxをインストールするだけでできます(DropBoxはHTTPS通信ですからこれも止められません)。

で、考えていただきたいのは、

  • メールサービスだけ止めてどうしたいのか?
  • そもそもメールも使えなくしてまで守りたいセキュリティとは何か?

です。

ごく常識的に考えれば、訓練用のPCに盗まれて困るデータなど入っていませんから情報漏洩リスクはそもそも考える必要がありません。
そして重要なデータを保持していないということは、何が消えてもかまわないと言うことですから電源を落とすたびにHDDが起動前の状態に戻る(そういうソリューションはいくらでもあります)ようにしておけばウィルス感染の心配もありません。

で、なんのセキュリティがご心配なのでしょうかという話です。

他4件のコメントを見る
id:Sampo

無料でがんばりたいなら、Windows7以降のVHDブートを使うのがよろしいかと思います。
終了後にVHDファイルを復元するのは手動になりますが、そこは自前でスクリプトを組んでなんとか省力化できますかね。

2013/11/25 10:05:22
id:hiro999

ありがとうございます・・・VHDブートって調べてみたんですが、Win7だとUltimateか、Enterpriseでしか使えないみたいですね・・うちはProffesionalなので無理そうです。
すみません。

2013/11/25 21:33:15

その他の回答1件)

id:Sampo No.1

回答回数556ベストアンサー獲得回数104ここでベストアンサー

ポイント80pt

ポートを閉じただけでは無理です。
メールサーバ(あらかじめ自分でどこかに立てておく)の側で待ち受けポートを80番や443番にしてしまえばいいだけですから。
(自分が職場でやっていることだったり…)

SMTP/IMAP/POPサービスを完全にシャットアウトするには、インターネット接続そのものを切断して、WWWに関してだけプロキシサーバ経由でアクセスできるようにします。

さて、これで一応回答にはなっているのですが、本当にセキュリティのことを考えていらっしゃいますか?

ご自分でもお気づきの通りWebメールサービスは無数にあり、これらをすべて止める方法はありません。
また、データファイルの送受信ならWebメールを使う必要さえなくDropBoxをインストールするだけでできます(DropBoxはHTTPS通信ですからこれも止められません)。

で、考えていただきたいのは、

  • メールサービスだけ止めてどうしたいのか?
  • そもそもメールも使えなくしてまで守りたいセキュリティとは何か?

です。

ごく常識的に考えれば、訓練用のPCに盗まれて困るデータなど入っていませんから情報漏洩リスクはそもそも考える必要がありません。
そして重要なデータを保持していないということは、何が消えてもかまわないと言うことですから電源を落とすたびにHDDが起動前の状態に戻る(そういうソリューションはいくらでもあります)ようにしておけばウィルス感染の心配もありません。

で、なんのセキュリティがご心配なのでしょうかという話です。

他4件のコメントを見る
id:Sampo

無料でがんばりたいなら、Windows7以降のVHDブートを使うのがよろしいかと思います。
終了後にVHDファイルを復元するのは手動になりますが、そこは自前でスクリプトを組んでなんとか省力化できますかね。

2013/11/25 10:05:22
id:hiro999

ありがとうございます・・・VHDブートって調べてみたんですが、Win7だとUltimateか、Enterpriseでしか使えないみたいですね・・うちはProffesionalなので無理そうです。
すみません。

2013/11/25 21:33:15
id:satosi_ogawa No.2

回答回数58ベストアンサー獲得回数21

ポイント20pt

Sampoさんの解答で一般論として満点なのですが。単純にメールを閉鎖系で運用したいのであれば、メールサーバーを立ち上げて内部のみで運用すれば良いのではないかと考えました。
外部のネットワークと繋がることを徹底的に排除したいのであれば、自前のネットワーク内部で完結する運用体系を構築る事で対応する手段があります。webサーバー・メールサーバーを設置して自前のコンテンツのみ置くことで、完全に外界と隔離しつつ擬似的な体験学習自体は可能です。(webはキャッシュで厳選した物のみを保持する手段もありますが。)
ただし。この方法はお金と時間がある程度必要になる上に、学習成果は必ずしも高い物になりません。あくまで疑似体験ですので。
組織内部の政治的な事情で、コストをかけてでも外界に接続しない選択肢を欲している場合のみ、腹案として御検討ください。

id:hiro999

Satosi_ogawa様

ご意見ありがとうございます。
仰るとおり、そうした閉鎖的な運用を行えば、危険は防ぐことができますね。
ただ、やはり、我々としてはwebサイトのキャッシュだけを置くという方法は
考えておりません。学習効果も落ちますし、コストも大きくかかるでしょうから・・
ご意見ありがとうございます。

2013/11/23 17:26:44
id:hiro999

Sampo様

鋭いご意見ありがとうございます。

何のためのセキュリティなのか?という指摘ですが、

実はセキュリティ責任者がウィルスの心配をしておりまして、

そのためにあまりメールの使用に積極的ではないのです。

ただ、webの閲覧を許可している時点で既に色々な穴はありますし、

対策といったらきりがないようです。

Sampo様の言われるとおりPCの電源を落とすたびに

HDDを起動前の状態に戻す設定がいいと思います。

ちなみに、再起動の度にHDDが戻るソリューションということは、

WindowsのUpdateを行ったり、ローカルに保存した成果物も毎回消えるのでしょうか?

現状に見合ったセキュリティを考えてみたいと思います。

ありがとうございます。

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

回答リクエストを送信したユーザーはいません