第3回 製造装置を守るUTMに必須な機能とは
菅原 継顕
フォーティネットジャパン株式会社
シニアリージョナルマーケティングマネージャー
2009/1/14
関連会社とのセキュリティを強化したい
製造業が抱える別の悩みと、解決方法の1つを紹介します。1社完結ではなく、子会社や関連会社と同一のネットワークを構築することがあります。その際、グループ会社といえど別会社なので、セキュリティには注意が必要です。
各セグメントがそれぞれインターネット接続をしている場合、まずインターネットからのウイルスなどの脅威の侵入を防ぐ必要があります。
製造業の場合、研究開発拠点や工場が海外にある、また倉庫が海外にあるという場合があります。情報の取り扱い、コピーのソフトウェアの使用、セキュリティ全般に関する意識の違いから脅威の発生源となってしまうことが多く、特に注意が必要です。
USBメモリは悪の存在か?
また、最近はUSBメモリがとても便利なメディアになってきました。もともと十数グラムと大変軽量で取り扱いやすいものでしたが、最近の低価格化、大容量化、高速化により、USBは大変に狙われるウイルス感染経路になってきています。USBメモリの扱いは、どの企業でも困っているようです。使用禁止にしているところも少なくありません。われわれもノベルティでUSBメモリを作ったことがありますが、「セキュリティベンダがUSBメモリを作るなんて常識がないね」と冗談交じりにいわれることがあります。これは間違った考え方です。便利なものができると、それを狙う脅威が発生するものなのです。
電子メールという大変便利なものができた半面、スパムという脅威が作られたり、Webという便利なものができて、それを利用するたくさんの脅威が生み出されたりしました。脅威があるからといってメールを使わない、Webを使わない、コンピュータや携帯電話さえ使わない時代に戻ることは困難です。顧客とのコミュニケーションに問題が出ます。USBメモリも同じで、脅威を認識したうえで、セキュリティを施したうえで使用すれば大変便利なものなのです。なにもかも禁止にしてしまうと、セキュリティは万全かもしれませんが、生産性は低くなってしまいます。かといってすべてOKでは、セキュリティに問題が出る場合もありますので、脅威を認識し、セキュリティを実施したうえで必要なものを許可していかなければならないのです。
すこし脱線しましたが、インターネットから、もしくはUSBメモリからでもどこかのセグメントにウイルスが入り込んでしまったとしても、全グループと関連会社に被害が及んでしまうようなことがあってはなりません。
インターネットセキュリティと内部セキュリティの違い
グループ会社とのセキュリティといっても、セキュリティのセグメントを分けてインターネットレベルのセキュリティを導入しておいた方がよいでしょう。グループ会社は信頼できても、いったん凶暴な脅威が入り込んでしまうと、その脅威が全グループ会社に攻撃を仕掛けてしまうからです。
1つインターネットと違うのは、「外」と「内」ではなく、両方「内」であるということです。つまりインターネットの「外」は自分の責任範囲ではありませんが、グループ会社とのネットワークの場合、子会社のセキュリティ上のトラブルは親会社の責任でもあり、十分なセキュリティを施すためにある程度介入する必要があるということです。セキュリティを導入するだけで終わりではなく、継続的な統合ログ管理が必要になります。
ログを取ることにより、ユーザーがいつどのようなサイトを閲覧したか、どのようなメールのやりとりを行ったかなどは把握できますし、時間ごとのトラフィック量も分かりますので、回線やネットワーク機器がボトルネックになっていないがどうかが分かります。またUTMを集中管理している場合、時間ごとのCPUやメモリの使用量も分かりますので、適切な機器が設置されているかどうかが分かります。
 |
| 図2 UTMのログでネットワーク全体を管理する |
グループ会社も統合ログ管理を行うことで、脅威が発生した際、発生源を特定したり、責任範囲を絞り込んだりができるようになります。脅威が外部に及んだり、情報が漏えいしたりしないための積極的な対策はもちろん、万が一外部に説明しないといけない事態になった場合、詳細なログを取っていないことには話になりません。また、各種法規制やコンプライアンスに対応、ISO27001/ISMSを取得するためにもログ管理は重要です。
 |
2/3 |
 |
| Index | |
| 製造装置を守るUTMに必須な機能とは | |
| Page1 いきなりですが、不況です 不況に効く薬とは もっと低価格で製造装置を守る方法 |
|
 |
Page2 関連会社とのセキュリティを強化したい USBメモリは悪の存在か? インターネットセキュリティと内部セキュリティの違い |
| Page3 OA系とFA系でセキュリティセグメントを分けたい 今後の新事業:“セキュリティモデル”の販売 |
|
 |
意外とウマ合い! 統合セキュリティ機器活用法 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
