質問

2012年12月27日 10時53分
  • 外部から業務システム・ファイルサーバの利用

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

皆様こんにちは

モバイルPCを導入し、営業が外出先から社内リソースにアクセスできる環境を用意しようと準備を行っております。
環境としては
・PCはHDD暗号化
・複数回認証でPCにログオン
・SSL-VPNで端末認証+ユーザ認証(ID.PASS)
・VPN越しに社内リソースにアクセス(全て)
という環境を用意する予定になっております。
要するに外部でも社内PCと同じことが出来るようにします。
※プリンター以外

今度は運用プランで困っております。
営業からの要望により、基幹システムとファイルサーバに外部からアクセス出来るようにとのリクエストで上記の環境を考えたのですが、
特にファイルサーバのデータはお客様の個人情報が満載で、
この様なデータを外部のオープンな環境でアクセスすること自体、問題と思います。
ですが営業の生産性を上げるためにモバイルPCを導入する訳なので、
運用で如何にかできないかと悩んでいるところでした。

セキュリティも保て、営業からストレスを感じさせないような
運用プランのアイディアを教えてください。
皆様の会社の事例も踏まえて頂けると有りがたいです。

補足ですが、社内PCにリモートアクセスできるようなプランも考えましたが、
外出先でどの様な環境で業務を行うのか分からず、
リモートアクセスであれば利用時通信状態を保てないとの理由で
却下されました。
こちらの方法であれば、モバイルPC自体にはデータは保存されないので、
個人的にはこの手段を押していました。

よろしくお願いいたします。

5件の回答があります

回答

基本的にそれでよいとおもいますが...

この様なデータを外部のオープンな環境でアクセスする
と言ったって オープン ではないでしょう。 ファイアーウォール(FW)もあるでしょうし。
そこを問題にするなら「LANはインターネットに接続しない」くらいの覚悟が必要です。

( ウチはそれに近くてLANは直接(この直接とは”ルータやFWの1つで”という意味)にはインターネットに繋いでいません )
ウチはVPNクライアントソフトを入れ、許可された人しか接続できないようにしています。

2012年12月27日 12時21分

回答

会社で似たような要望が出ています。

個人的には「投稿者」さまと同様にリモートデスクトップで「ノートPCもしくはシンクライアントで良いのでは?」と思いますが、なかなか難しいです。

もし、セキュリティのためにお金をかけられるのであれば「Citrix XenClient」「XenClient Enterprise版」の導入を検討してみてはいかがでしょうか?
記事を読んだだけですが、非常に有望な製品だとは思っています。

ただ、本格的な検討をした訳では無いため、詳細は不明です。もし秋葉原に行けるのであれば「VDIイノベーションセンター」などを見学してみると良いかもしれません。

そこまでの費用が厳しければ、HDDの暗号化でしょうか。いろいろと問題もあるとは思いますが、ローカルHDDにデータを保存する以上、最低限この程度の対応が必要なようです。

2012年12月28日 23時11分

回答

セキュリティとしては十分硬いのではないでしょうか。
私なら上記のセキュリティであれば接続を許可すると思います。
どの程度の脅威が予想されるかを正しく見積もるべきです。

この様なデータを外部のオープンな環境でアクセスすること自体、問題と思います
気持ちとしては理解できますが、具体的ではありません。
裏づけも無いのではありませんか?
「何があるかわからないので許可しない」というのでは
かけた費用に対するリターンが十分得られないという意味で、
経営層に対する説明責任が果たせないのではないでしょうか?

たとえば、「HDD暗号化はユーザーがノートPCをONのまま閉じた状態では効かないので、情報漏えいの危険性がわずかながら存在する」等の理由が必要です。
そうすれば脅威と利便性の大小を比較可能です。

とはいっても漠然とした不安がおありなのだと思います。
お気持ちは非常に良くわかります。私もかつてそうでした。
このジレンマを解消する一つの方法として、
どの程度セキュリティが硬いのか、技術的にとことん調べてみるというのはどうでしょう。
自分でセキュリティを破ってみるのです。
結果、出来なければ少なくともご自身と同レベルの技術者では破れないということです。
PCが紛失し、そのPCがご自身よりも上位レベルのエンジニアの手に渡る可能性を考えてみてください。
調べれば調べるほど、意外と可能性は低いということがわかると思います。

2012年12月29日 15時04分
csp

回答

お疲れ様です。

皆様が言われているように基本的に問題ないと私もお思います。

セキュリティはがちがちにすれば使いにくくなりますし、緩くすれば抜け穴が出来て、そこがリスクになるという、両方の完璧はないと思います。
そのためどこまでのリスクを許容できるかを会社内でよく協議することが大事だと思います。
人間のすることをすべてITで解決することは難しく金もかかると思いますので、こういったケースの場合、会社での罰則規定の明確化や外部接続車に対する教育義務などを講じて、会社としてリスクを負わない形を作るのがよいかと思います。「社員に知らなかった!」といわせないことが、一つ大事だと思います。

その上で予算があるのであれば、VMviewのようなシンクラにするのもよいような気がします。(リンククローンという機能を使うとシンクラでも長期出張等のネットワーク環境がない場合に一時的にローカル環境にシンクラ環境をコピーできる機能)

情報が漏れない仕組みも大事ですが、最後は使う側にリテラシーを持たすことが大事だと思います。

2013年01月01日 16時17分

回答

利用関係者以外(社外)への対策は投稿者さんの予定環境でよろしいかと
存じます。

加えると致しましたら利用関係者(社内)への対策になるかと思われます。

具体的には

  1. セキュリティ啓蒙活動と教育の継続的な実施を行う。(本質的な対策)
  2. PCのソフトウェア利用ログ・操作ログを取得する。(技術上の対策) (3. 2に付随しMAC等による接続PCの制限、モバイル拠点に対する 固定IPの付与による接続制限等。)

になるかと思います。

セキュリティも保て、営業からストレスを感じさせないような
運用プランのアイディアを教えてください。

やましいことをしなければ堂々と技術的な制約はなく社内環境を
利用できるため利用者は文句のつけようがありません。逆に文句を
つけるのであればその理由を明確にし会社としての経営判断を
仰いでもらう様に営業に促さねばなりません。

操作全てが記録対象となるため利用者はそのことを念頭に置き
利用しなければなりませんので心理的抑止として効果があります。

HDD暗号化、通信暗号化、3重ログイン等に上記その他を加えた
仮想ネットワーク環境(今回の投稿者さんの予定環境)を構築し、
今年3年目に入ります。運用継続に際し特に大きな支障はなく、
情報漏洩に対する問題も発生しておりません。

実施にあたっては 1.の啓蒙活動と教育が最重要課題になりました。

技術対策はイタチごっこになりますが、もしITがなかった場合の事を
考えますと紙媒体や音声・画像の情報漏洩対策を考えれば良く、
そのためには直接・間接を問わず情報漏洩を引き起こす人をつくらない
ことに徹するしかありません。(教育を十分にせず警察の強化を
するか、教育を十分に行い警察がなくとも安心できる環境をつくるか
の違いの様なものです。)

2.の製品はIT資産管理ソフトの一機能として提供されている事が
多く製品も多数(数十社以上)の会社から提供されています。
「ログ管理 IT資産管理 情報セキュリティ対策」あたりで検索
してみて下さい。選定基準はWEB書き込みとアップロードの管理
(コントロール。監視、記録、抑制、警告等。) ができるか否かです。
それができれば技術上の機能は網羅されています。

コーヒーブレイク

年末年始に久しぶりに「沈黙の艦隊」を読みました。
作中後半に家に鍵をかける話が出てきます。アメリカでは鍵をかけて
当然ですが、江戸時代日本では鍵をかけなかった話が出てきます。
日本に泥棒がいないのか不思議がっているところになされた説明は
鍵の代わりに「張り紙」がしてありそれで盗人の心に鍵をし、防犯
するなんて話がありました。

ITインフラ管理に関しても運用担当者としてはこんなウィットに
富んだやり方をしたいと考えます。

2013年01月05日 16時38分

あなたもコメントしましょう!