- 0
- 0
- 4
質問
-
リモートメンテナンス端末について
質問
実はウチの場合困った状態にあります
その1. 親会社からの指示でGSuiteを使っています。ここへのアカウント登録は親会社指定の子会社がやっています。 この子会社のIT統制やったときはボロボロで根本的な管理ができていないのですが、これがウチの全社員のアカウントを管理していると思うと恐ろしくなります。 ちょっと前まではパスワードがサーバ管理者が入力(実際にはバッチで一気に処理)していたので、つまりID・パスワードが筒抜けということでした。 「これはいかん」と”パスワードはユーザが変更する”方式にしましたので今は大丈夫です。
その2. ウチのERPは先のとは別の子会社がサポートしています。そのためVPNで社内LANに入れるようになっています。ところがこの会社の担当がいつのまにか退社していました。そのことは我々には知らされていませんでした。 ということは退社した人が悪人だったら侵入されていたかもしれないということ。あわててVPNのIDを抹消して新規に作りました。 以後、この会社には「担当が替わる場合にはただち連絡すること」を保守契約に追加しました。
いずれも私の後任者のときに起きたことですが、その1は「それは危ないから変えろ」と言ったのに1年もそのままでした。
実はまだ危ないと思っています。この2つの子会社が結託すれば「勝手にアカウントを作り(かえて)、VPNでつないでしまったらファイルサーバを見られてしまう」ということです。なのでVPNはアカウントを作りっぱなしで与えるのではなく、”保守のときにアカウントを作って通知して、保守が終わったらアカウントを削除する”という方式にしろと言ってますが(VPNアカウントはウチで設定します)「面倒だ」と言ってやってくれません。
私が(IT統制やセキュリティをやっていましたから)厳しすぎるのかもしれませんが”抜け道の可能性を示しているのに対策しない”というのはなんとも怖いです。
TKYさんもできるなら ”保守のときにアカウントを作って通知して、保守が終わったらアカウントを削除する”という方式にすることをお勧めします。
SSLVPNなのでちょっと違うかもしれませんが・・・
> ・業者側の端末を制限する手法はどのようなものか?
クライアント証明書を入れて端末の制限をしたいですが出来てないです。
その代わりにワンタイムパスワードを使った多段階認証にしていて、事前に申請頂いたメールアドレスにパスワードを送信しています。メールアドレスは会社の個人アドレスで、共有アドレスはお断りしてます。
> ・覚書のようなものを交わしているか?
覚書はアカウント発行時に交わしています。
また、アカウントの有効期限を設定しており、定期的に延長申請を出してもらってます。
> ・その他、困ったことや経験上の注意点など
端末側の設定に関するヘルプデスク業務が増えました。「設定が分からない」「VPNが繋がらない」「接続したが切れる」「接続できたがサーバにアクセスできない」などなどなど・・・。相手の会社まで行くのも面倒ですし、なんとか電話とメールだけで対応してますが、時間もかかるし困ってますが、仕方ないですね・・・。
また、アクセス制限の管理が面倒です。以前は、ユーザ個人毎に許可/不許可を設定してましたが、担当者が変更する度に面倒な設定作業が発生してました。
今は、LDAPでユーザをグループ単位で管理して、グループごとにアクセス制御の設定を行ってます。担当者の変更などはLDAP上で行うので楽にはなりましたが、
>desatoさん
アドバイスいただきありがとうございます。また、お礼が遅くなりすみません。
やはり、導入当初とメンバーが変わるとトラブルが起きやすいのですね。
”保守のときにアカウントを作って通知して、保守が終わったらアカウントを削除する”で検討を進めてみたいと思います。
>take88さん
アドバイスいただきありがとうございます。また、お礼が遅くなりすみません。
アカウントの有効期限の設定やヘルプデスク業務の増加、LDAPでの管理と思ったより負荷がありそうだと分かりました。とはいえ、自社のセキュリティを守るため、アカウントの有効期限というできるところから始めてみたいと思います。
お二方とも本当にありがとうございました。
私としては「リモートメンテナンスを(信用のできない)別会社にやらせることは危険」と思っています。
この場合の”信用のおけない”の一つは「小さな会社」です。大きな会社は昨今では”コンプライアンスだの内部統制だと言って鍛えられている”のでまぁまぁ信用できるのですが、ちいさな会社は”効率優先、人材が足りない、寄せ集め人員”などで”統制が行き届かない”とか”意図的に破る”ということがあります。私の最初のコメントの その1 の子会社は依然はウチの子会社だったので私がIT統制監査をやりました。すると、
・情シス担当者個人のアカウントに特権が与えられており、コソコソとシステムをいじくっていました。ログも取っていないので、誰がいつ、いじったのかもわからずという状態でしたので、是正勧告を出しましたが「個の方が便利」と言ってそのままでした。(その後すぐにウチの子会社から親会社の子会社に移行したのでウヤムヤになってしまいました)
・業務システムからエラーメッセージが出ているのに無視している。担当者は「このメッセージは出ていても関係ない」というのですが、どう見ても重大な警告だったので徹底的に調べさせたところ、使用していない機能が動いているのが原因でそれを止めたら出なくなりました。 なによりも警告を無視しているという運用が許せませんでした。
・規程やマニュアルを電子掲示板に載せているが半分が旧版だった。(担当者が持ってきたマニュアルと掲示されたものが違うので追求したら「ああ掲示板なんてみんな見ていませんから」って。 あきれたね。
このように信用のおけない会社は指摘しても「これはあーです。こーです」といって直そうとはしません。
これが信用のおける会社なら、不備を見つけて指摘すると「すみません すぐに修正します」となります。
信用のおけない会社にリモートメンテナンスを任せてはいけません。
お役に立ちましたか?他にもたくさんの ノウハウが共有されています。
質問
近いうちにPC・スマホ向けにリモート接続(L2TP/IPSec)サービスの利用を開始します。
サービス利用の検討段階では社員のみの利用を想定していましたが、途中で各システムの業者にもリモート接続を解放するようにと上位者から指示がありました。
当然、社員と同じポリシーでの利用はあり得ないため、専用アカウントを発行して接続できるサーバーを絞るつもりです。
同じような環境を持たれている方にお伺いしたいのは
・業者側の端末を制限する手法はどのようなものか?
→ MACアドレス制限や証明書のインストール、そもそも接続できる端末を貸与している など
・覚書のようなものを交わしているか?
・その他、困ったことや経験上の注意点など
の3点です。
よろしくお願いいたします。