社内の共有サーバー上にあるファイルの、不正コピーを防ぐ方法を探しています。
だいたいはWindowsやsambaで共有フォルダをつくって
ファイルをそこに置いて、みんなで自由に削除やコピーができると思います。
これを、USBへの保存やFTPやヤフーメールなどへ添付して送信などの、
外部へファイルを持ち出せない仕組みを希望しています。
社内LANで使う分には削除や移動・コピーなどを自由にできないと不便なので、
外部へ持ち出せない方法、としてアドバイス頂けますと助かります。
以前、某大企業(非IT系)で働く人が、
やめる際に重要なデータをしこたまとってやめたというのを聞いたことがあり、
セキュリティ対策をしっかりしておこうと思っています。
特にIT系は比較的自由にファイルアクセスができないと
いろいろ不便なので、どうしているのか気になります。
よろしくお願いします。
こんばんわ。
やりたい事をファイルサーバ上の設定だけではおそらくきっと無理です。
実現方法は次の通りです。
1.USBストレージへのコピー
・端末がActive Directory(以下、AD)環境下にあるのであれば、端末がUSBストレージの使用を禁止する
セキュリティルールをAD上で設定する
・http://www.atmarkit.co.jp/fwin2k/win2ktips/629usb2/usb2.html
2.FTPの利用
・社外にFTPされないように、社内のファイアウォール上でFTPの通信は、インターネット上と
通信できないように設定する
→通常、通信可能にはしませんが・・・。
・仕事上、企業同士でデータのやりとりにFTPを利用したりしますので、
FTPができる端末を特定しておくのも方法の一つだと思います。
3.Yahooメール(Webメール)の添付
・様々なWebメールがありますが、ファイアウォール上で各WebメールのURLを接続禁止サイトとして登録。
・使用されているファイアウォールのメーカに問い合わせて、メーカが提供しているリストファイルを
読み込む事が可能か確認してみてください。
以上、よろしくお願いします。
さらに、ローカルから共有サーバへのコピーも制限しないと
資料やソースがデグレードしてしまうのでは?
# バージョン管理システムも共有サーバ上に作成して
# ローカルには余計なデータを置かなThin clientみたいな構成にする
ActiveDirectry 等でもある程度の制御は出来るけど、抜け道はいくらでもあるし。
どうもありがとうございます。
共有サーバー以外へのコピー禁止は良さそうですね。
sambaでできれば、ひとまずセキュリティは上がりそうです。
ただ、共有サーバーへ新しくファイルを保存したり、
共有サーバーのファイルをローカルへ解凍したりして使うので、
悩みどころですね。
b-windさん
どうもありがとうございます。
やはり企業向けセキュリティ製品になりそうですねぇ。
IT系の場合、そういうのを入れずに、
何らかの方法を編み出していないかなと期待していますが、
逆にIT系の方がザルっぽいですねぇ。
某大手企業ではこんな感じでした。だいたい大手は同じような感じではないでしょうか。
1.PCのUSB端子は物理的にふさぐ。
2.メールは送信先を申請し、申請済みの送信先にしか送信不可。社外送信の場合は上長の確認の上送付。
3.ブラウザは許可されたサイトのみ接続可能。社外FTPやファイル送受信可能なサイトは当然自動的にアクセス禁止。
4.開発者は社内で作業し、LAN内で接続できるようにする。
>これを、USBへの保存やFTPやヤフーメールなどへ添付して送信などの、
>外部へファイルを持ち出せない仕組みを希望しています。
>ネットをしてFTPをいじる人間が複数いるため、
>FTP禁止にしても、ファイルアップロードサイトにされると意味ないですねぇ。
上記は社名がわかったらその会社が対外的に取引停止くらうくらい「ザル」です。
セキュリティの概念0ですね。
許可されたサイトのみ閲覧可能、というのは非常にやりにくそうですね。
アップロードやWEBメールサイトの閲覧禁止は行いたいですが、
完全にアクセス遮断が可能なのかが気になります。
セキュリティ系のサービスに入っても、ブラックリスト形式だと、対応不可能な気がします。
>アップロードやWEBメールサイトの閲覧禁止は行いたいですが、
>完全にアクセス遮断が可能なのかが気になります。
普通の会社では上記は「常識」です。
何のためにプロキシサーバーがあるとお思いでしょうか?
もしかすると御社ではプロキシサーバーも介さずに外部にアクセスさせていますか?
残念ながら、方法がわからないため質問しています。
もしよろしければ回答としてアドバイスを頂けると助かります。
ちなみに現在は、固定IPではなく動的IPで光フレッツでの接続です。
>外部へファイルを持ち出せない仕組みを希望しています。
外部との接続や持ち出しを可能にしておいて情報漏洩を防ぎたいという時点で矛盾しています。
>残念ながら、方法がわからないため質問しています。
質問者は恐らくあまりネットワークに詳しくない方と思いました。
>ちなみに現在は、固定IPではなく動的IPで光フレッツでの接続です。
まさかとは思いますが、御社では社内LANを直接インターネットに接続しているのでしょうか?
通常の簡単な構成では、社内ネットワークと社外ネットワークの接続は以下のようになります。
[インターネット]--[ファイヤーウォール]-[プロキシーサーバー、メールサーバー]-[ファイヤーウォール]-[社内LAN]
※ファイヤーウォールを1台で済ます方法もありますが、説明のため2台書いています。
http://www.atmarkit.co.jp/aig/02security/dmz.html
この場合、社外へブラウザでアクセスする場合はファイヤーウォール+プロキシサーバー経由になるため、プロキシサーバーでアクセス制限をかけます。
また、通常ファイヤーウォールで開けるポートは必要最小限にするため、FTPのポートはデフォルトで閉じて置きます。
申請された場合に指定のIPアドレスからのアクセスを許可するよう設定します。
情報漏洩の場合、大きく以下になります。
1.USBなどの物理的メディアにより持ち出す
2.メールに添付して外部へ送信
3.外部サイトへ送信する
1.の対策としてUSBコネクタを物理的に使用できないようにします。
2.の対策として、送信メールは上司が確認後送信するようにします。
また当然、WEBメールはプロキシサーバーによりアクセス不可にします。
(大手の会社では常識です)
3.の対策としてブラウザからFTPやファイル送信ができるストレージサイトへのアクセスをプロキシサーバーでアクセス不可にします。
このような所が常識的な対応だと思います。
社内から自由にFTPやヤフーメールが使えること自体が問題です。
情報システムが存在していない、または機能していないのではないでしょうか?
もし質問者が社内セキュリティの責任者または担当者だったとしたら、
御社はセキュリティに関しては絶望的だと思います。
>逆にIT系の方がザルっぽいですねぇ。
そんなところの人にこんなことを言われたくないですね。
FTP用CGIを動かすわけです。
通常の会社であればFTPのポートを一般社員に開放するわけはないですから。
今は社内LANからルーター経由でインターネットになっています。
ネットワークに関しては、最近触りだしたため知識はあまりありません。
小さな規模でこれまでは問題無かったのですが、
規模が大きくなりつつあるため、事前にしっかりしようと思い、質問しています。
知り合いに聞いていると中小企業でのセキュリティがぐだぐだなところが多かったため、
実状と対策方法を知りたいと思っています。
ファイヤーウォールの後に、プロキシサーバーを入れるということですね。
USB対策は、キーボードやマウスの利用などにも影響するため、
そのあたりも気になるところです。
FTPやストレージに対してはプロキシサーバーですね。
これも、ブラックリスト形式しかイメージできませんが、
自動シャットアウトが可能なら、問題は一気に解決しそうです。
あと、ポイントのこともあるので、コメント欄でなくて、回答の方でも大丈夫です。
御社が「まさに」そうです!
>今は社内LANからルーター経由でインターネットになっています。
いつの時代ですか?1980年代ですか?
社内からFTPが可能と聞いて恐らくそうだと思っていましたが、セキュリティの知識0です。
弊社は某企業グループの連結子会社ですが、原子力発電の情報が漏洩したなど、色々な事例があったため
非常にセキュリティにはグループとして厳しくなっています。
例えば、使用不可ソフトウェアのリスト(freeのVPN,SoftEther,(当然)ファイル共有,skype(ファイル共有機能があるため。ウイルス感染の恐れあり))が関連会社に指示されたり、私物PCの業務使用禁止と、社外持ち出しノートPCの登録と管理(「社外持ち出し可」の表示必須)、また、企業秘密情報を持ち出す場合は暗号化と機密情報持ち出し申請、また私物USBメモリの使用禁止、グループ内で発生したセキュリティ問題の事例の紹介(ノートPCや携帯の盗難など)厳しく管理されています。
子会社や関連会社から機密情報が漏洩しても、親会社の責任になるからです!
「今は社内LANからルーター経由でインターネットになっています」とか「ネットをしてFTPをいじる人間が複数いるため」とか「ヤフーメールなどへ添付して送信」のようなことを取引先に話したら、即時に取引停止になる可能性がありますよ!
ファイヤーウォールやプロキシサーバーを入れるのは社内LANと社外ネットワークを物理的に切断するためです。
「社内LANからルーター経由でインターネット」って社内のPCの共有フォルダが社外から見えるレベルじゃないですか!?会社としてありえないレベルです。
↓以下を参照
「ビギナー管理者のためのブロードバンド・ルータ・セキュリティ講座」
>>
LANをインターネットに接続した場合、このファイル共有サービスがLANのセキュリティにとって弱点となり得る。もともとWindowsのファイル共有サービスは、事務所などあくまで局所的なLANのためのサービスであり、インターネットにファイルを公開するような用途は想定されていない。しかし、現在のWindowsファイル共有サービスはプロトコルにTCP/IPを利用しているため、原理的にはインターネットに向けてもWindowsのファイル共有サービスを有効にできてしまう。
<<
http://www.atmarkit.co.jp/fpc/experiments/008bbrouter_sec/block_share_01.html
また、この場合は社外からの特定のポートに対するセキュリティホールを使ったウイルス感染の恐れがあります。
FTPが開いているくらいですから、他のポートも開いていると思いますが、ウイルス感染したPCが特定のポートで外部からトロイの木馬でリモートコントロールされる恐れがあります。社内の機密文書の漏洩も重大ですが、社外の顧客の情報が漏洩した場合、まず今後取引は無くなると思って間違いはありません(間違いなく取引停止のブラックリストに載ります)。情報漏えいによる被害は金額に換算できないほどの被害を、自社とさらに顧客に及ぼします。(弊社では情報漏えいした社員は即解雇できるよう就業規則を改定済みです)
>実状と対策方法を知りたいと思っています。
通常の企業の一般常識とかけ離れていることはご理解頂けたでしょうか?
この質問に対する回答は特に問題があるとは思えません。常識的な回答です。
それを実現不可能と言われている質問者の方が一般常識から外れています。
ネットワークセキュリティ関連の入門書を一度読まれてはどうでしょうか。
図解入門 よくわかる最新ネットワークセキュリティの基本と仕組み
http://www.amazon.co.jp/%E5%9B%B3%E8%A7%A3%E5%85%A5%E9%96%80-%E3%82%88%E3%81%8F%E3%82%8F%E3%81%8B%E3%82%8B%E6%9C%80%E6%96%B0%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%81%AE%E5%9F%BA%E6%9C%AC%E3%81%A8%E4%BB%95%E7%B5%84%E3%81%BF%E2%80%95%E3%83%93%E3%82%B8%E3%83%8D%E3%82%B9%E3%81%A8%E6%83%85%E5%A0%B1%E3%82%92%E5%AE%88%E3%82%8B%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%83%9E%E3%83%8D%E3%82%B8%E3%83%A1%E3%83%B3%E3%83%88%E5%85%A5%E9%96%80-How%E2%80%90nual-Visual-Guide/dp/4798002372
絶対わかる!新・ネットワークセキュリティ超入門
http://www.amazon.co.jp/%E7%B5%B6%E5%AF%BE%E3%82%8F%E3%81%8B%E3%82%8B-%E6%96%B0%E3%83%BB%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E8%B6%85%E5%85%A5%E9%96%80-%E5%A2%97%E8%A3%9C%E6%94%B9%E8%A8%82%E7%89%88%E2%80%95%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%81%AE%E3%81%97%E3%81%8F%E3%81%BF%E3%82%92%E7%9F%A5%E3%82%8B-%E6%97%A5%E7%B5%8CBP%E3%83%A0%E3%83%83%E3%82%AF-%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E5%9F%BA%E7%A4%8E%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA/dp/4822212947
>あと、ポイントのこともあるので、コメント欄でなくて、回答の方でも大丈夫です。
この程度の一般常識ならポイントは不要です。
参考にさせて頂きます。