私の務めている施設ではしょうがいのある方に対しITの職業訓練を行っております。
セキュリティの問題から訓練生とstaffのPCは別networkに分けてあります。
現在、訓練生のPCはwebの閲覧とOffice学習が主で、メールは使えないのですが、
訓練の一貫としてメールが必要という意見があります。
しかし、訓練生が自由にメールを送受信すると、セキュリティの問題があります。
そこで、訓練生のNetwork内部に内部でしかメールの送受信ができないサーバーを設置し、
そこへ訓練生がメーラーでつなぐという方法でメールを提供しようと考えています。
しかし、この方法では優秀な訓練生などが、メーラーの設定を自分で変更して、
外部のメールサーバーに繋いで、Networkの外とメールを送受信するのではないかという不安があります。
(もちろん、webが使える時点でwebメールを使われる可能性もありますが)
誰かが、設定を変更しても外につながらないようにしたいのですが、
それにはどうしたらいいでしょうか?
ルーターの25と110番ポートを閉じれば、問題はなくなるでしょうか?
皆様に是非知恵をお借りできれば、幸いです。
ポートを閉じただけでは無理です。
メールサーバ(あらかじめ自分でどこかに立てておく)の側で待ち受けポートを80番や443番にしてしまえばいいだけですから。
(自分が職場でやっていることだったり…)
SMTP/IMAP/POPサービスを完全にシャットアウトするには、インターネット接続そのものを切断して、WWWに関してだけプロキシサーバ経由でアクセスできるようにします。
さて、これで一応回答にはなっているのですが、本当にセキュリティのことを考えていらっしゃいますか?
ご自分でもお気づきの通りWebメールサービスは無数にあり、これらをすべて止める方法はありません。
また、データファイルの送受信ならWebメールを使う必要さえなくDropBoxをインストールするだけでできます(DropBoxはHTTPS通信ですからこれも止められません)。
で、考えていただきたいのは、
です。
ごく常識的に考えれば、訓練用のPCに盗まれて困るデータなど入っていませんから情報漏洩リスクはそもそも考える必要がありません。
そして重要なデータを保持していないということは、何が消えてもかまわないと言うことですから電源を落とすたびにHDDが起動前の状態に戻る(そういうソリューションはいくらでもあります)ようにしておけばウィルス感染の心配もありません。
で、なんのセキュリティがご心配なのでしょうかという話です。
Sampoさんの解答で一般論として満点なのですが。単純にメールを閉鎖系で運用したいのであれば、メールサーバーを立ち上げて内部のみで運用すれば良いのではないかと考えました。
外部のネットワークと繋がることを徹底的に排除したいのであれば、自前のネットワーク内部で完結する運用体系を構築る事で対応する手段があります。webサーバー・メールサーバーを設置して自前のコンテンツのみ置くことで、完全に外界と隔離しつつ擬似的な体験学習自体は可能です。(webはキャッシュで厳選した物のみを保持する手段もありますが。)
ただし。この方法はお金と時間がある程度必要になる上に、学習成果は必ずしも高い物になりません。あくまで疑似体験ですので。
組織内部の政治的な事情で、コストをかけてでも外界に接続しない選択肢を欲している場合のみ、腹案として御検討ください。
Sampo様
鋭いご意見ありがとうございます。
何のためのセキュリティなのか?という指摘ですが、
実はセキュリティ責任者がウィルスの心配をしておりまして、
そのためにあまりメールの使用に積極的ではないのです。
ただ、webの閲覧を許可している時点で既に色々な穴はありますし、
対策といったらきりがないようです。
Sampo様の言われるとおりPCの電源を落とすたびに
HDDを起動前の状態に戻す設定がいいと思います。
ちなみに、再起動の度にHDDが戻るソリューションということは、
WindowsのUpdateを行ったり、ローカルに保存した成果物も毎回消えるのでしょうか?
現状に見合ったセキュリティを考えてみたいと思います。
ありがとうございます。