■ コンピュータ システム セキュリィティ サービス
Copyright 日本デジタルデザイン株式会社
System Security
|
|
■日本デジタルデザインではコンピュータシステムからの情報漏洩にたいするシステムコンサル及び
実施サービスを行っています。
現状のインターネットも含めたシステムでは情報漏洩する危険がおおきくなっています。
インターネットのシステム上でも善意の解釈から作られた機能が多くありますが逆に悪意を持った人がその盲点を
つけば秘密性が高いデータを持っていかれることにもなりかねません、
コンピュータ専門の方が述べたページは解かりずらいので解かり易く説明いたします。
■インターネットに繋がったコンピュータからデータがなぜリークするのか?
インターネットに接続される時にインターネットエクスプロータなどのソフトを起動されると思います
その中のインターネットオプションに(セキュリィティ)と(プライバシー)の設定があるかとおもいます。
コンピュータに詳しくない方は設定をとにかく高くすることで、すくなくとも被害を最小限にすることが可能です。
しかしWEBサイトを閲覧する場合にその設定が中でなければ閲覧あるいはサービスを受けられないことが多くあります。
不便ですが常に閲覧する信頼できる場所を除き設定は高にしたまま閲覧されることをお勧めします。
では、その設定の中にどのような設定条件があるかと言いますと、まずネットの相手方から取り込んだソフトを
あなたのコンピュータで実行させるかどうかです。これはJava(ジャバ)ActiveXといわれるプログラムでそのコード
を取り込んであなたのコンピュータになにがしかのソフトを実行させることです。
極端な例ではあなたのコンピュータの貴重なデータをネット上で取り出すことが可能です。
またその時点ではデータ取り出しをせずに次回、ネットに繋いだときにデータを出したりとあらゆる可能性が出てきます。
このJava、ActiveXは善意の基で使用される分には重宝しますが悪意のもとでは危険となります。
次にプライバシーの設定が意味する部分に移ります。
プライバシーの中にクッキーというものがあります。
その設定を中にしているとどんなことができるかと言いますと、あるWebサイトに閲覧にいったとします。
そのサイトがショッピングのサイトだったとします、そこであなたの目的とする商品にアクセスしたとしますと
そこにアクセスした人がどのような趣向があるかといったことが判るようになります。
極端な例ではAさんは金曜日の夜7時によくこのサイトのどのページをよく見にくるといったことが
わかるわけです。
ではAさんはどこの誰々だというのが判ればこまったものです。
あるHPにアクセスしたときIDも入れずに誰々さんと名称が表示された場合は間違いなくクッキー情報を送っています。
とにかくインターネットに接続しなければ安全ですがそうも言えない状況です、その中で最大限、情報に対して
安全策を講じる必要があります。
インターネットでのデータはどのルートを通って目的地に到着するか確定できません、その途中でデータのコピー
改ざんも可能なのです。専用の回線なら心配ないのですが!
当然ですがインターネット上からしらないうちにウイルスを持ったファイルを取り込んでもおこります。
これは他所から持ち込んだファイルでも起こりファイルに潜ませることが可能です。
インターネットのHP閲覧では非常に多くのファイルを自分のコンピュータに取り込んでいます。
そのファイル群のなかにどのような実行ファイルが潜んでいるかわかりません。
あるときインターネットのホーム表示がかってに別のサイトに変わっていて変更しても再度立ち上げたときには
変更されずに元にもどっていたとかいった場合はレジストリファイルが変更されてもそれを書き換えるソフトが
潜んでしまったと見るべきです。
極端な場合、ダウンロードした写真データに隠しコードを埋め込むことも可能で通常で開いても写真として見れるデータ
などもあります。また数度に渡って分割されたコードを受け取り集まった段階で合体して実行するなど最近はこった
手法があります。
■つぎに企業、組織での情報漏洩での問題、注意点は!
現在(2006年)、大型コンピュータシステムでも5割のシステムに問題があることがわかっています。
絶対大丈夫と言われているシステムからでも情報漏洩がありえる状況です。
一度漏洩した情報は取り返しがつきません。
■情報セキュリィティのための手段、手法
単純な(簡単な)情報漏洩の80%ほとんどが組織内からの持ち出しに起因していると言われています。 この場合は次の手法で防ぐしかありません。
○入退室での手荷物検査をする。
○コンピュータから外部出力装置を外す。
○コンピュータ室への入出退出を特定の人のみに限定する。
○入室許可を持つ人の入退室を指紋認証で履歴管理まで行う。
○FDやMO及び携帯の(USBメモリー等)電子媒体の持込を禁止する。
■悪意をもったソフトウェアからの情報漏洩
パソコンに出所が確定していないソフトのインストールを禁止することは情報漏洩からシステムを守るための基本です。
特にフリーソフトなどは亜種のソフトが存在して危険な場合がありどんなプログラムが内部に潜んでいるかわかりません。
少なくとも個人利用ではない業務用システムにはインストールするべきではありません。
次にインターネットを接続してJAVA,ActiveXなどの設定を有効にしてWEBにアクセス
した場合はシステムにどんな影響があるソフトでも勝手に入れられる(走る)可能性があり危険です。
■外部との回線接続
社内の業務システムと外部の接続を物理的に遮断する方法が一番確実ですがそれでは業務に支障がでるケースがほとんどです。
かならず外部と接続できるコンピュータを限定してそのコンピュータを経由しなければいけないシステムですと情報漏洩の管理
がスムーズになります。
■システムを安全に安定稼動させるためには
業務システムはインターネットに接続させないでインターネット用には別回線と別パソコンを装備する。
業務回線と外部回線を分離すると便利さが制限されることで多くの企業では業務もインターネットも同じ回線で接続して
いると思います。
それでも、すくなくとも経理専用パソコンなど重要なデータがあるコンピュータは分離する所がほとんどです。
情報漏洩とウィルスの脅威から考えると当然の方法です。
■情報漏洩をすこしでも防ぐために
- WEB共有フォルダをレジストリの指定で非表示にする
- サーバーの共有フォルダ名を変更して非表示にする
- レジストリの変更を禁止する、インターネットを閲覧しているとき勝手に書き込まれることがあります。
- アプリケーションの追加と削除を禁止する
- タスクマネージャーの使用を禁止する、WindowsUpdateを禁止する
- Java,ActiveXの設定を無効にしておく。Java,ActiveXが有効ではありませんの表示がでても無視する。
■社内LANでの対応
接続が簡単であるということは便利ですが、回線に流れるデータをトレースしてメール管理するソフトが実在します。
このことは、回線のデータは流出しやすいと言う事です。ルータやの設置場所や接続を制限する必要があります。無線
LANは特に危ないと言えます。データが微弱電波ですが漏洩します。
個人単位のメールアカウントには特に注意が必要です。
個人単位にメールアカウントを設定していることは個人宅からでもメール受信ができてしまい、メールにより簡単に情報
が外部に流出してしまいます、できるだけ組織でメール受信をして各個人に配布する方法をとります。
組織として受信したメールを各個人に配布すれば個人別に接続情報を知らせる必要が無くなります。
メール送信を使えば外部へ簡単に情報を流すことができますのでメールの一元管理が重要となります。
■ファイルアクセスについて
ファィルセキュリィテイの設定
アクセス設定でのNTFSKのアクセス権は安全とはいえません。
アクセス権の設定でファイルにアクセスできるユーザーを制限することができますが簡単にアクセスできるソフトがあります。
別のパソコンにそのハードディスクを接続すれば、そのパソコンのアクセス権で参照できます。
ということはハードディスクを盗難から守る必要があるということです。
■データベースのデータについて
データベースのAccessなどはパスワードを設定できますが、コピーして他のコンピュータに簡単に持っていけます。
簡単ではありませんがDB2やオラクルなどは導入したマシンでのみ有効でコピーしても他のサーバーでは閲覧できません。
しかしサーバーをまたいでデータを生かす方法があります。
■上に記述した内容は一部ですが問題点は数多く存在しています。
日本デジタルデザインではコンピュータシステムのセキュリィティでのコンサルティング、
システムサポートを行っています。特に内部ではそこまでできないといった場合ご相談ください。
ウイルスでシステムダウンしてリカバリーしたつもりだが心配な場合もご相談ください。
下記メール先までお願い致します。
日本デジタルデザイン株式会社
NIPPON DIGITAL DESIGN CO.,LTD
システム セキュリィティ 開発室 〒830-0047 久留米市津福本町1012-2
0942-35-5916
Email :ndd@nippondd.com
Copyright 日本デジタルデザイン株式会社