本連載では、“IT担当者”が担うべき仕事を基礎的な内容から分かりやすく解説していきます。少人数でIT機器・サービス全般を見ていたり、情報システム部門と他部門を兼務していたり、ITインフラを構築あるいは運用するノウハウを十分お持ちでない方の参考として、また、「自分は運用に必要な知識は一通り持っている」という方の“仕事内容のおさらい”として使っていただければと思います。

 今回は前回に引き続き、社内ネットワークのセキュリティ対策について見ていきます。まずは、会社が認めていない端末を社内のネットワークに接続させないようにする方法を整理しましょう。

会社が認めない端末を接続させないようにする

 無線LAN環境がある場合は、そのセキュリティ設定を確認しましょう。さすがに最近は少ないと思いますが、暗号方式にWEP(Wired Equivalent Privacy)を使っていると短時間でパスワードを解析できてしまうため危険です。少なくともWPA2(Wi-Fi Protected Access 2)にすべきです。

 WPA2はさらに「WPA2パーソナル」と「WPA2エンタープライズ」に分類できますが、企業利用であればWPA2エンタープライズを利用するのが理想です。WPA2パーソナルは全員が同じパスワードを使うため、パスワードが外部に漏れると不正に接続される危険性があるためです。WPA2エンタープライズは、ユーザーごとに異なるIDとパスワードを使って認証するため、WPA2パーソナルよりはパスワードが外部に漏れにくいと言えます。

 無線LANアクセスポイントで、会社が認めていない端末からの接続を拒否する手法も比較的よく利用されています。端末が持つ一意のIDや、端末のネットワーク機能が持つ「MACアドレス」という一意の情報をチェックします。後者は、一般的に「MACアドレスフィルタリング」と呼ばれます。

 さらに接続条件を厳しくしてセキュリティを高める「検疫ネットワーク」という仕組みもあります。検疫ネットワークは、ネットワークに接続しようとした端末のセキュリティレベルをチェックし、問題がない場合だけ接続を許可する仕組みです。例えば会社が接続を認めたPCであっても、最新のWindows Updateを適用していなかったり、ウイルス対策ソフトウエアのパターンファイルを更新していなかったりすると、社内ネットワークへの接続が拒否されます。ただし検疫ネットワークは、セキュリティレベルをチェックするツールのほか、これと連携して接続を許可/拒否できるLANスイッチが必要で、導入コストがかかります。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。