本連載では、“IT担当者”が担うべき仕事を基礎的な内容から分かりやすく解説していきます。少人数でIT機器・サービス全般を見ていたり、情報システム部門と他部門を兼務していたり、ITインフラを構築あるいは運用するノウハウを十分お持ちでない方の参考として、また、「自分は運用に必要な知識は一通り持っている」という方の“仕事内容のおさらい”として使っていただければと思います。
今回は、社内ネットワークを守るためのセキュリティ対策を整理してみましょう。
多くの企業が、ファイアウオールやUTM(統合脅威管理)装置を企業ネットワークの出入口に設置しています。ファイアウオールは、企業がセキュリティポリシーとして認めていない通信を遮断する装置です。一方のUTMは、企業に必要とされるセキュリティ機能を複合的に搭載しているもので、ウイルススキャンをしたりサイバー攻撃の通信を遮断したりすることも可能です。会社が閲覧を認めないWebサイトやウイルス配布サイトなどへのアクセスを阻止するURLフィルタリングが可能な製品もあります。
ただ、UTMの搭載機能には“広く浅く”という側面があり、例えばUTMのURLフィルタリング機能は、URLフィルタリングの専用ソフトウエアに比べるとフィルタリング対象として指定できるジャンルが大まかという傾向があります。そのため、UTMで機能の不足を感じる場合には機能の充実した専用ソフトウエアで補うという考え方も必要です。
機器の設定はシステムインテグレーターに依頼するのが基本
ファイアウオールやUTMは、「設置すれば終わり」ではありません。企業のセキュリティポリシーを反映した形で設定し、運用しなくてはなりません。そのためには、ネットワーク上で行われる通信の種類や経路を漏れなく把握したうえで、ファイアウオールやUTMを設定することが必要です。これは、実質的にネットワークを設計することだと言えますが、技術や知識の問題もあり自社だけで行うよりは、システムインテグレーターに発注するのが一般的です。
多くのシステムインテグレーターが、ファイアウオールやUTMの設計や設定に関するサービスを提供しています。サービスの提供内容は、UTMの設定を代行するものから、コンサルテーションによって必要な設定を決めて入力するものまでさまざまです。ただし、システムインテグレーターに設定してもらうにしても、「よろしく頼みます」だけでは済みません。発注のために、どのような知識が必要かをご説明します。
まず、社内ネットワーク上にどのようなサーバーやPCがあって、それらがどこと、どのような通信をしているかを把握し、構成図として描けなくてはなりません。これがないと、ファイアウオールやUTMを適切に設定できず、必要な通信がブロックされてしまうようなトラブルを招く恐れがあります。
また、自社のセキュリティポリシーをシステムインテグレーター側に説明する必要があります。分かりやすいのはURLフィルタリングです。UTM製品では最初からメーカー推奨のフィルタリング設定がなされていることがあります。しかし業種によっては、初期設定のままだと業務に必要なWebサイトを見られなくなるかもしれません。
UTMの導入前に、運用方法も決めておきましょう。セキュリティ機器は、パターンファイルなどをバージョンアップし、状況に応じて設定も変更していかないと、最新の脅威に対応できなくなります。また「攻撃を受けた」「情報漏洩が起きた」といった有事の際には、ファイアウオールやUTMのログ解析も含め原因を特定する必要が出てきます。このような運用業務についても、システムインテグレーターなどに外部委託するとよいでしょう。
システムインテグレーターの提供する運用サービスは、遠隔からファイアウオールやUTMをメンテナンスし、アラートが出た場合にはそれをIT担当者に通知するなど、自社に十分な運用体制がない場合に役立ちます。企業によっては、有事の際にログを解析してくれるワンタイムのサービスなども役立つと思います。
