情報セキュリティスペシャリスト 情報処理安全確保支援士

情報セキュリティの脆弱性ついて

投稿日:2016年4月30日 更新日:

脆弱性とは一般的にはソフトウェアやネットワークの欠陥(バグ)を指しますが、
広義にはシステム面だけでなく、建物・設備面や管理・セキュリティポリシー面での不備も挙げられます。

今回はその中でもネットワーク構成における脆弱性についてとなります。

ネットワーク構成を強固なものにすることはセキュリティ強化の基本で最低限必要不可欠なものとなります。

侵入・攻撃への対策

「 セグメント分割とアクセス制御」
 インターネット側(WAN)、インターネットから閲覧可能な公開サーバ側(DMZ)、イントラネット側(LAN)といった役割によって、ネットワークセグメントを分割することは必須です。

また、イントラネット(LAN)でも、営業部セグメント、人事部セグメント、情報システム部セグメント、内部サーバセグメント、機器管理セグメントなどでセグメント分割、必要によってはアクセス制御を行うことが重要です。

 

「インターネット接続口の集約化」
 インターネット接続口は最小にし、外部の脅威から徹底的に守る必要があります。
そのために、FWIDS/IPSなどを設置します。

 

「端末認証」
 社内で接続可能な端末はMACアドレス認証や証明書を用いたIEEE802.1x認証を行って、
管理外のパソコンを自由に社内ネットワークに接続できなくするよう制限することです。

外部からの脅威だけでなく、内部からの情報の持ち出しや攻撃を防ぐために内部のセキュリティ対策を行う必要があります。

 

「機器のパッチ当て、推奨バージョンへのアップデート」
 端末やサーバのOS、ソフトウェアをアップデートするように、
ネットワーク機器にもOSがあるため、重要な脆弱性が見つかる可能性があります。
そのため、導入して終わりではなく、定期的なメンテナンスが必要です。

 

可用性向上のための対策

「スループット」
 ネットワークのトラフィック量から、十分なスループットがでる機器を選定します。
インターネット回線速度なども十分なものを契約します。

 

「冗長性」
 重要なネットワーク機器、サーバなどは冗長化し、一時障害が発生しても問題のない構成
とします。

 

「帯域保証」
 データの種類によって分類し、帯域を確保します。
例えば、IP電話のようなリアルタイム性がともなうものは重要な位置付けで保証します。

 







-情報セキュリティスペシャリスト, 情報処理安全確保支援士
-,

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

関連記事

情報セキュリティにおける脅威の種類について

今回は、ネットワークやシステムの情報セキュリティを脅かす脅威について、 どういった攻撃手法があるのかについてです。  

DNSの仕組みと脆弱性について

今回は、DNSの脆弱性についてとなりますが、 そもそもDNSの仕組みについてから説明していきます。  

電子メールの仕組みと脆弱性について

今回は、電子メールの脆弱性についてとなりますが、 そもそもメールの仕組みについてから説明していきます。  

情報セキュリティ対策の基本的な考え方

情報処理安全確保支援士(旧:情報セキュリティスペシャリスト)の内容に入っていく上で、 まずは、情報セキュリティという概念とその特徴といったことについてみていきたいと思います。

シングルサインオン(SSO)について

シングルサインオン(Single Sign-On)はSSOと略されますが、 複数の認証が必要なシステムに対して、最初に1回認証を行えば、システムが変わっても以降の認証は全て許可されて実行できるシステム …

Sponsored Link