セキュリティポリシーの考え方


何度か聞いた方もおありだろうが、セキュリティー範囲を決めることを「セキュリティーポリシーを作る」という。このセキュリティーポリシーとは、簡単に言ってしまえば「うちのサイトで利用できるサービスと、禁止するサービスを定める」事である。禁止事項が多くなれば必然的に自由度が狭まり、禁止事項を少なくすると必然的にセキュリティーが甘くなる。このバランスを決めることがセキュリティーポリシーの勘所である。セキュリティーを重視しすぎるあまり、本来オープンな考え方に立脚したインターネットの利用を規制するのも考え物だし、かといって何でもオープンにしてしまうとクラッカーの餌食になってしまう。

究極のセキュリティーは「インターネットに接続しない」あるいは「インターネットを利用しない」に尽きる。社内クラッカーを警戒するのであればデータベースやファイルサーバ等のサーバサービスを利用させないという結論に至ってしまう。これではインターネット、いやコンピュータシステムの恩恵にあずかることはできない。事故が恐いからといって車を使わなければ日本の経済そのものが成り立たないし、飛行機は離陸することすらできなくなってしまう。ただし、この究極のセキュリティーを実施しているサイトも存在しているのは確かだ。具体的にはインターネットとイントラネットの接続を物理的に分離し、メール等のインターネットサービスはインターネット専用のパソコンでしか使用できないようにするといった方法である。社内でインターネットを利用する立場からすれば、あまり便利な方法とはいえないが、これは一つのセキュリティーポリシーの結論でもある。

2-2.bmp (19502 バイト)

逆に、一切の制限をしないサイトというのはよほど日々の監視をしているか、あるいはセキュリティに関して無頓着であるかの両極端なサイトしか存在しない。監視もせずにセキュリティフルオープンであるということは、侵入されたことすら気づかないサイトを意味する。
セキュリティーポリシーはサイトにとって必要なサービスと不必要なサービスの取捨選択から始まる。不必要であるサービスはすべての砦でブロックし、必要なサービスを通過させるようにする。リストアップしたセキュリティポリシーに基づき各砦を設定するのである。本書はルータでのセキュリティ確保をテーマとしているので、セキュリティポリシーに基づきルータをセットアップするが、ルータによっては設定不可能な項目もある。これはルータ別の具体的な設定の中で触れる事にする。

[目次]

Copyright © MURA All rights reserved.