Skip to main content

Fujitsu

Japan

IPCOM EXシリーズによる安全・安心システム構築

headbanner_l06.jpg

富士通のネットワークサーバIPCOM(アイピーコム)によるイントラネットのセキュリティ対策と、安全・安心システム構築について解説します。


掲載日:2007年11月6日

御社の社内向けサーバは安全ですか?

目次

はじめに

多くの企業においてインターネット/イントラネットを使って業務を行うことが当たり前となっています。
インターネットやイントラネットの活用により業務の効率化が実現できる反面、近年では、攻撃によるサービスの停止や、情報漏洩といった問題が取りざたされております。
特に、イントラネットに対しては、セキュリティの必要性が認識されておらず、その危険性が指摘されております。

本書では、社内向けサーバを対象とし、サーバシステムを運用する際のリスクとそのセキュリティ対策について説明します。
また、社内向けサーバフロントで必要な機能を、All-in-oneで実現する「IPCOM EX INシリーズ」についてもご紹介します。

イントラネット内は安全?

セキュリティインシデントの発生箇所

JSOC(注1)の調査によると、2005年度のCritical(攻撃が成功した可能性が著しく高い状況)以上のセキュリティイベントの発生箇所の調査結果では、インターネットで発生したセキュリティイベント数の3倍以上の件数が、イントラネット内で発生しています。
これは、イントラネット内でボットやワームに感染したPCからの攻撃による影響が大きいようです。
ボットやワームの危険性は、多くのメディアで指摘されているにも関わらず、2006年度もなくなることなく続いています。

(注1)JSOC:Japan Security Operation Center。株式会社LACが運用するセキュリティ監視センター

2005年度セキュリティイベント発生箇所の77%がイントラネット内で発生しています
図 1. 2005年度セキュリティイベント発生箇所

イントラネット内のセキュリティ対応状況

警察庁生活安全局情報技術犯罪対策課の調査では、インターネットからの不正アクセスに対して、 ファイアーウォール(FW)導入(約9割)を筆頭に何らかの対策をしている人がほとんどです。
これに対し、イントラネット内では、重要システムであってもFWの導入率が3割強と インターネットからの攻撃に対するFWの導入率に比べて低いという結果が出ています。

イントラネット内のセキュリティ対策はインターネットからの攻撃に対するファイアーウォール(FW)等の導入率に比べて低い
図 2. FWの導入率

イントラネット内で想定される脅威

前述のように、イントラネット内においてもセキュリティイベントが多く発生するにも関わらず、 セキュリティ対策が万全ではないため、イントラネット内は想像しているより 危険が潜んでいることがわかったかと思います。
では、実際にどのような危険があるのか、社内向けサーバセグメントにおいて 考えられる脅威について以下に示します。

イントラネット内で想定される脅威
図 3. イントラネット内で想定される脅威。

1.モバイルPC持込などによる感染PCからのウイルス・ワームの拡散

想定される被害

  • ウイルス・ワームの拡散動作に伴う、ネットワークの性能低下
    • 感染動作によるトラフィックが増加し、本来必要な通信が出来なくなってしまう。
  • サーバセグメント内の各サーバへの2次感染
    • 感染したサーバの負荷が増加し、処理性能低下またはサービス停止が発生する。
    • ウイルス・ワームの種類によっては、サーバ内に保存してある機密情報が漏えいしてしまう。

2.不正アクセス(サーバに対する“いたずら”や侵入)

想定される被害

  • 業務サーバの停止
    • 不正なデータ入力によるWebアプリの停止や意図的なサービス妨害を起こす。
  • 機密情報の漏えい・データの改竄
    • サーバの権限を乗っ取り、更に重要なシステムへ侵入し、情報を盗み出す。
    • 保存されている情報を改竄し、利用できなくする。

3.通常の運用やオペミス/設定ミスによる擬似攻撃

想定される被害

  • アクセス集中による突発的な負荷による、サーバの性能低下・サービスの停止
  • SWの設定ミス(ミラーポートの設定など)により、ループが発生し、ネットワークやサーバの性能低下やサービス停止が起こる。

イントラネット内のセキュリティ対策

被害を発生させないようにする直接的な対応としては、アンチウイルスソフトの導入や、 アクセス制限の設定、ファイアーウォール(FW)、IPS/IDPの導入等が考えられます。

  • ファイアーウォール(FW)の導入に関しては、セグメントの境界毎に導入することを推奨します。
    万が一ワームやボットに感染した場合でも、その感染したセグメント内に被害範囲を押さえ込むことができます(感染拡大や二次被害の防止)。
  • ログ管理は、直接的な対応ではないものの、被害が発生した場合に分析することにより、問題点の洗い出しや攻撃者の特定が出来、被害発生時の対応を早くしたり、悪意のある攻撃者への心理的な圧力となって抑止効果として働くといったことがあります。
イントラネット内のセキュリティ対策
図 4. イントラネット内のセキュリティ対策

1.ウイルス・ワームへの対策

  • サーバやクライアントPCへアンチウイルスソフトを導入し、感染を防ぐ。 a
  • アンチウイルス・アンチスパムゲートウェイを導入し、特定セグメントへの侵入を防ぐ。 b
  • 検疫システムを導入することで、感染の可能性の高いPCを排除し、感染の危険を下げる。 c
  • セグメントの境界にファイアーウォール(FW)を設置し、感染被害を最小限に抑える。 e

2.不正アクセス(サーバに対する“いたずら”や侵入)への対策

  • 許可されたネットワーク・端末からしかアクセス出来ないように、アクセス制限をかける。 d
  • FWやIPS/IDP機器を導入し、不要な通信を遮断する。 e
  • サーバまたはネットワーク機器でサーバへの操作のログを取得し、問題発生時に備える。(ネットワークフォレンジックなども含む) f
    ※事後の対応向けだが、アクセスした人を突き止められることから抑止効果が期待できる。

3.オペミスや設定ミスへの対策

  • サーバでのコネクション制限を設定し、処理性能を越えるアクセスがあってもサービスを継続。 g
  • FWやIPS/IDP機器の導入による、擬似的な攻撃への対応。 e
  • セグメント毎にFWを設置し、攻撃の影響範囲を最小限に抑える。 e

セキュリティ対策を効率的に行うために

セキュリティを強固にするためには、それぞれの箇所で対策を行う必要があります。
しかし、あまりにも多岐に渡るため、これらを正しく管理・運用していくためには、大変な労力がかかります。
また、セキュリティ対策をあちこちに分散させると、各機能の親和性、整合性が完全にはとれず、必ずどこかに穴が空いてしまうものです。
そこで、同じ箇所に置かれる装置や求められるセキュリティ強度に応じて、別の場所で代替可能な機能を一箇所に集めて、効率的にセキュリティ対策を行うことが考えられます。
1つの装置で機能を集約することで、機能の親和性、整合性の確認漏れ等に起因する穴をなくすことができます。
UTM(Unified Threat Management)アプライアンスは、FWを軸としてIPS/IDPやアンチウイルス機能、 Webコンテンツフィルタリング(URLフィルタ)機能などが統合された装置で、このような機器を使うことで、 個々の機器をさまざまな箇所に設置するよりもセキュリティ強度が高まり、導入・管理を簡単に行うことが出来ます。
また、業務サーバ等アプリケーションを提供するサーバでは、OSにセキュリティホールが見つかったとしても、 パッチを適用するとアプリケーションが動作しない可能性もあるため、きちんと検証が済むまで、 セキュリティホールを塞ぐことが出来ないことがあります。こういう場合にも、 サーバの前でセキュリティホールを突いた攻撃が出来ないようにFWなどを設置することで、 システム全体として、セキュリティを確保することもできます。

IPCOM EX IN シリーズの適用

サーバ前でセキュリティを確保することは、堅牢なシステムを構築する上でのポイントとなります。 サーバの前でセキュリティを確保する場合、サーバ負荷分散(ロードバランサー)装置の前にファイアーウォール(FW)やアンチウイルス、IPS/IDPなどのセキュリティ専用装置を設置します。 専用装置を組合せてのシステムは、親和性、整合性の確保、また二重化システムの設計・構築などが非常に困難となります。 IPCOM EX INシリーズは、サーバを集約する負荷分散装置にUTMを搭載しており、サーバ前のセキュリティ確保に最適な装置です。サーバ負荷分散装置には、データ通信が集約されるため、サーバに対して漏れなくセキュリティを確保できます。
例えば、昨今の情報漏えい対策などで、サーバを一箇所に集めて管理することがありますが、サーバを集めることで、サーバセグメント内でサーバ間の通信が発生します。UTM装置とサーバ負荷分散装置を個別に置く場合、サーバ間の通信に対してもセキュリティを確保するとなると、サーバ負荷分散(ロードバランサー)装置とサーバの間にもUTMを置かなければなりません。 ですが、統合装置であるIPCOM EX INシリーズであれば、下図のように、全ての機能を1台で実現することが出来ます。

IPCOM EX INシリーズは1台で漏れなくサーバのセキュリティを確保します
図 5. IPCOM EX INシリーズの適用

付録:IPCOM EX IN シリーズの特長

UTM型ロードバランサーでサーバのセキュリティを一括確保

サーバ負荷分散(ロードバランサー)機能、SSLアクセラレーター機能等のネットワーク機能に加え、FW/IPS機能、アンチウイルス機能等のセキュリティ機能(UTM)を1台で提供。
データ通信が集約されるサーバ前で漏れなくセキュリティ対策を実施します。

IPCOMはUTMを搭載した負荷分散装置です
図 6. IPCOM EXの特長

簡単運用


複数の機能を1台に統合することで監視対象装置が減るため監視が簡単になります。
加えて、ログ形式が統一されていることから、複数の機能を横断した事象確認が行え、ネットワークトラブル発生時の切り分けも簡単に行え、早期解決に繋がります。
また、サーバの保守や障害対応を行う場合に、サービスを止めることなく保守や障害対応を行うことが出来るため、安心してサーバの運用が行えます。

→『IPCOM EXの機能統合によるメリット』についての詳細はこちらをご覧下さい。

様々な機能追加オプションを用意

UTM機能やSSL-VPN機能などのオプションを用意。機器追加を行うことなく、ライセンスの登録を行うことで機能アップが可能です。
例えばUTM機能によって、お客様がサーバにアップロードするファイルのウイルスチェックを行ったり、SSL-VPNを使用して、自宅からサーバのメンテナンス作業を行うことが出来ます。

IPCOM EX INシリーズ適用の効果
効果例 従来 IPCOM EX INシリーズ適用
高信頼システム設計 ・ソフト/機器間の相性、構築技術など、高度なノウハウ/調査時間が必要 ・IPCOMが装置として保証
設置 ・装置設置、装置間のケーブル接続等の設計、作業が必要 ・1BOXとして提供
導入 ・各装置毎に設計、各装置のツール/ビューによる導入作業 ・テンプレートによる一括設定
運用 ・装置毎の管理/運用 ・IPCOM1台で管理/運用
保守 ・サポート先がまちまちであり、トラブル調査に時間がかかる ・サポート先が一箇所であり、調査/切り分けがスムーズ

目次

富士通のIPCOMのラインナップ

(注) シリーズをクリックすると、ラインナップが表示されます。

製品ラインナップ IPCOM EX SC IPCOM EX LB IPCOM EX NW IPCOM EX IN