 |
 |
記事検索 |
イベントレポート |
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
巧妙化する外部からの攻撃には複数の防御策の組み合わせが必要 |
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
まず高橋氏は、社外からのリモートアクセスやエクストラネットの普及などで、企業ネットワークにおいて「保護すべき壁の数が多くなっている」ことに加え、パスワードへの辞書攻撃機能を持つウイルスが登場するなどウイルスやワームの高機能化が進んでいること、社外から持ち込まれたノートPCを経由したウイルス感染など、外部ネットワークとの境界部の防御だけでは防げない攻撃が増加していることなどについて触れた。さらに、これらの問題に対処するためには、「ネットワーク接続ポイント、アクセスサーバー接続ポイント、コンピュータ接続ポイント」の3段階で、それぞれファイアウォールを始めとする多層防御が必要だと述べた。 その上で、高橋氏は各段階における防御の具体的な方法についての説明に移った。まず、外部ネットワークとの境界に当たる「ネットワーク接続ポイント」における防御については、ルータ型のマルチレイヤファイアウォールとしてISA Server 2004を活用することに加え、ISA Server 2004が動作するマシンをVPNサーバとすることで、VPNを経由してきたトラフィックを復号化した上でISA Serverによりパケットを検査する「デトンネルトラフィック検査」を行なうことなどが有効であると語った。また、無線LANへの対応としては、IEEE802.1Xで必要となるRADIUSサーバとしてWindows Server 2003のインターネット認証サービス(IAS)を利用することや、WPA(Wireless Protected Access)の導入、Active Directoryを利用してPEAP-TLS認証で使用する証明書の発行をほぼ自動化することなどが必要だと語った。 続いて、外部からのリモートアクセスなどに対応する「アクセスサーバー接続ポイント」については、「Windows Server 2003のRRAS機能を活用すれば、ベーシックファイアウォール機能に加えて、NAT Traversal機能によるIPSecパケットのUDPカプセル化や、外部クライアントの接続時に検疫制御を行なうことで十分に防御が可能」だとして、同機能の活用を参加者に勧めた。 各クライアント端末の直近での防御となる「コンピュータ接続ポイント」については、Windows XPに付属するWindowsファイアウォール(もしくはInternet Connection Firewall)を使用するほか、IPSec機能に付属してくるフィルタを使うことで「IPSecによる暗号化を利用しなくても、ICFでは困難な送信元IPや送信元ポートを特定してのフィルタリングが可能」であり、これを利用するのが効果的であると語った。また、WindowsXP SP2で導入されるデータ実行防止機能(DEF)などのシールドテクノロジーも有効だと述べた。 さらに情報漏洩対策については、Windowsの暗号化ファイルシステム(EFS)の利用や、Windows Rights Management(WRM)によるドキュメントの操作制限といった手法のほか、Windows Server 2003 SP1のリリースと合わせて無償提供される予定のMicrosoft Audit Collection Services(MACS)を使うことにより、企業内のWindowsマシンのイベントログを集中管理できるほか、イベントログへのリアルタイム監視機能によりMACSを侵入検知システムとして利用することも可能だと語った。そして、これらの手法を組み合わせることにより、単に情報漏洩の可能性を減らせるだけでなく、万が一情報が漏洩した場合にも、漏洩者を刑事告発する際に必要となる秘密管理性の要件を満たすことが可能だと述べた。 関連情報 ■URL Microsoft Tech-Ed 2004 http://www.microsoft.com/japan/teched/
( 松林庵洋風 )
- ページの先頭へ-
|
