- PR -

社外システムとの通信は外向き通信だけにしたい、の理由

1
投稿者投稿内容
jj
会議室デビュー日: 2002/04/02
投稿数: 9
お住まい・勤務地: 東京都
投稿日時: 2005-03-30 17:54
企業の情報システム部門の人間です。社外の取引先のシステムから専用線(やL2網などの閉域ネットワーク。インターネットは決して使用しません)を使用して情報を取得するケースがよく発生します。この場合、社内のDMZ的セグメントに中間サーバを立てて、社外システムからのtcpセッションは一旦この中間サーバにて終端させ、自社NW内奥深くにある重要システムからはこのDMZ上の中間サーバにセッションを張りにいき目的の情報(たいていの場合はファイルという形で実在します)を取得しに行くのがよい、つまり社外の相手先システムからは、絶対に社内NW奥の基幹系システムにまでtcpセッションを張りに行かせるべきではない、という主張をたまに聞きます。これはなぜでしょう?社内への入り口には当然FWがあり、そこで送り元と送り先とプロトコルを限定しているので、相手先が信頼できるという前提ならば、この「外から内へは直接すべきでない」ルールはそれほど重要視する必要はないと思うのです。例えば自社が情報を受け取る立場の場合、DMZ上の中間サーバに社内システムから定期的にポーリングするよりも、社外の相手先からデータが発生したタイミングで直接、自社内の最終受信システムまでtcpセッション張って送ってもらったほうが明らかにリアルタイム性という点では有利ですよね。また、受信サーバが乗っ取られた場合のリスクも、この受信サーバがDMZ上にあっても社内奥の基幹系にあっても変わらないと思います。この「間にFWが存在しなおかつ相手システムが信頼できる場合でも、外から内への通信は許さないほうがよい」論は、具体的にはどういう危険性があっての主張なのでしょうか?直観的にはなんとなく社内奥深くまで社外からtcpセッションが入ってくるのは気持ち悪いと分かるのですが、ちゃんと理由を説明せよ、と言われると良く分からないのです。皆さんの会社では、基幹系のシステムに対して社外から直接tcpセッション張られることに対して、それを禁止するといったポリシーはありますか?あるとしたら、それは具体的にどのようなリスクがともなうと考えたからですか?
漠然とした質問ですが、どなたか教えてくださる方はいらっしゃらないでしょうか。
よろしくお願いします。
がるがる
ぬし
会議室デビュー日: 2002/04/12
投稿数: 873
投稿日時: 2005-03-30 19:01
どもです。がると申します。
んっと。jjさんのお話からすると、おおむね

相手先 <-> 自社FW <-> 自社内DMZ <-> 自社NW <-> 基幹系システム
   専用線

また、アクセスの壁を||で表しますと、現在の状況としては
相手先 <-> 自社FW <-> 自社内DMZ || <-> 自社NW <-> 基幹系システム
といった感じかと予想されますがよいでしょうか?
以下、上記を前提に。

引用:

社内への入り口には当然FWがあり、そこで送り元と送り先とプロトコルを限定しているので

んっと。通常、いわゆるパケットフィルタリングとしてのFWでの
「プロトコル限定」は、現在さほど信用できるものではない可能性があります。
そのため、十二分に信用できるものではありません。

引用:

相手先が信頼できるという前提ならば

この前提も難しいですね。
「先方が悪意を持っていないという点においての信頼」はある程度
可能であるかもしれませんし、それを前提にするのは良い(というか、
それを前提にしないと先に進めない)と思うのですが。
それが==「先方が他者によってクラックされない」かどうかは、
これは別問題であると考えられます。
したがって、最終的に(双方のために)お互いを一定レベル以上で
信用しないほうが、より安全かつ円滑にビジネスが進められるように
思われます。

引用:

また、受信サーバが乗っ取られた場合のリスクも、この受信サーバがDMZ上にあっても社内奥の基幹系にあっても変わらないと思います。

これは作り方次第か、と。というかより厳密には「受信サーバが
のっとられたケースにおける危機管理」をして初めて「きちんとした
セキュリティ」であるように思われます。

大雑把にですが、おおむね上記の理由から、「よりセキュアな環境」を
考慮する場合、やはりDMZあたりできちんと食い止めて、複数のチェック機構
でセキュリティを考えるほうがより安全であると私は考えています。

まぁ、個人的には上記のすべてをひっくるめて「FW」だと思うのですが :-P

個人的雑感込みですが。
なにかご質問などありましたら、また投稿してください ^^
Wind
ベテラン
会議室デビュー日: 2004/11/10
投稿数: 73
投稿日時: 2005-03-31 11:58
セキュリティー云々はおいておいて……。

社内N/Wで接続先N/WのRoutingを切るのは、非常に気持ち悪くないですか?
アドレスのバッティングもありえるわけで、接続先のN/Wを知る存在は少ないに
越した事はないと思うのですが、いかがでしょうか?
今回の例でいえば、相手先のアドレスを知る存在は中間Serverだけでいいわけ
ですよね?
そういう観点から考えると、N/W設計の面からも中間Serverを置くべきと思います。

# もちろん、接続RouterでのNATは必須と考えます。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-03-31 12:31
引用:

また、受信サーバが乗っ取られた場合のリスクも、この受信サーバがDMZ上にあっても社内奥の
基幹系にあっても変わらないと思います。

受信サーバと社内LAN上端末間でフィルタをかけられるか否かが大きく違います。
DMZと社内LAN間をALL ACCEPTとかにしてれば、確かに変わりませんが、
普通はこの間の通信で最低限の通信のみ許可させるでしょう。

DMZは、DMZ上のサーバが万が一のっとられたとしても、社内LANを保護できる、
っていうのが一番の役割です。


相手が信頼できるか否かも、相手に悪意がないけど加害してくるケースはありえますし、
別企業がある以上、そうなった場合の責任問題は考えられます。
それに備えて、被害をDMZ上のみに限定させることを考えておいた方がいいと考えます。
また、社内で何か発生した場合、区切りをしっかりつけておくことで、
相手企業を容疑の対象に入れる入れないの切り分けが容易ですから。
社内だけの問題か社外も巻き込むのかじゃ、対応するポリシーも変わってきます。
1

スキルアップ/キャリアアップ(JOB@IT)