− 第5回 −

内外からの不正侵入のメカニズムと
その防止策その3 アクセスコントロール
ポリシーに合わせたアクセス制御で社内情報の不正利用や漏えいを防止

　前回まで内外からの不正侵入の防止策としてファイアウォールや認証の仕組みを紹介してきました。これらはパケットを精査して中継の可否を制御するファイアウォールや、正当なユーザーのみアクセスを許可する認証など、複数の技術を組み合わせて不正侵入を防止するものです。こうした不正侵入防止策と密接にかかわるのがアクセスコントロールです。例えば、社外からリモートアクセスするユーザーに対し、社員には各種アプリケーションのアクセスを許可し、取引先にはWebサーバの閲覧のみを許可するといった制御により、社内の情報を保護することができます。今回はポリシーに合わせて詳細な制御を行うアクセスコントロールや、社内ネットワークに接続する端末のセキュリティをチェックする検疫ネットワークなど、複数の技術を組み合わせた情報セキュリティを考えてみます。

ファイアウォール、ユーザー認証とともに システムへのアクセスコントロールが重要

　各地に分散する多数のリモート拠点や、外出先から社内システムにアクセスして業務の効率化や生産性の向上に役立てる。こうしたリモートアクセス環境を構築する企業は以前からも少なくありませんでした。しかし、ここにきてリモートアクセスの新規導入や再構築を加速する企業が増えています。その背景には、近年のブロードバンドネットワークの浸透があります。

　例えば多数の拠点との接続にISDNのダイアルアップ接続を利用していた企業の場合、ADSLやFTTHなどのブロードバンド回線とインターネットVPN を組み合わせたネットワークを再構築するケースも多いようです。広帯域ネットワークの導入は、狭帯域のISDNでは困難だったWebアプリケーションの活用や音声・データの統合など、業務の効率化を促進する狙いがあります。

　この際に留意しなければならないのが、リモート拠点を含めた不正侵入対策です。ISDNの場合、拠点と本社をポイント・ツー・ポイントで接続します。それに対し拠点間の中継網にインターネットを利用する場合は、どこからでも接続できるというインターネットの利点が、外部からの攻撃にさらされやすくなってしまうというリスクともなります。本社などの主要拠点は万全のセキュリティ対策を講じていても、セキュリティ対策から漏れてしまっていたリモート拠点が踏み台になって攻撃される例もあります。セキュリティ対策には、ファイアウォールによる防御やユーザー認証とともに、システムへのアクセスコントロールが重要になります。

　ここで言う、アクセスコントロールとは、社内外からのアクセスに対して、ポリシー（ルール）に応じたコントロール（制御）を行うことを指します。リモート拠点の社員からのアクセスは許可するものの、取引先からのアクセスは公開しているWebサーバに限定するといった制御を行うことです。

　さらに社員と一口にいっても、役員、管理職、一般社員、契約社員などさまざまな形態があります。役員と一般社員、一般社員と情報システム管理者では接する情報の量と質が異なるため、誰がどのシステムを使ってよいのか、どのような処理・操作を認めるのかといった、システムにアクセスできる権限を明確に区別するポリシーの策定と、それをシステムに反映するコントロールの仕組みが欠かせません。

　アクセス権限外の社員がシステムを変更する、あるいは許可なく機器をネットワークに接続するといったことを防止することも大事です。それが企業の情報漏えいの主因として指摘する声もある、内部の人間による不正侵入の防御にもなるからです。情報保護の観点からも、ポリシーに基づくアクセス制御が重要視されているのです。

図1：アクセスコントロール