- ベストアンサー
セキュリティポリシーって・・・?
FWをネットワークの実験のために構築しようとしています。 そこで、セキュリティポリシーを考えなさいといわれましたが、 いまいちピンときません。 皆さんは具体的にどのようなセキュリティポリシーをもっているのでしょうか? どういった風にポリシーを考えたらいいのでしょうか。 とりあえず今は、LAN内から外部は自由にアクセス可能にしたいと思っています。 それと外部からLAN内にはWebサーバーやFTPサーバー以外は利用させたくないので そのアクセス以外は基本的に防ぎたいと思っています。 これだけではセキュリティポリシーとはいえないのでしょうか?
- usui323
- お礼率84% (351/415)
- ネットワーク
- 回答数3
- ありがとう数3
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
こんにちは FWと言うことですので、セキュリティポリシーはFWルールを指していると思います。 [ FWのルール処理について ] FWでは基本的には、何も定義しない状態では全ての通信を遮断しています。 また、上から順番にマッチング処理を行う為、1行目にマッチすれば処理、マッチしなければ2行目・・・という順番に処理されます。 [ 一般的なFWルールについて ] いくらLANからの通信でも、何でも通す処理はNGです。必要な通信だけ許可しておいてください。 なぜなら、社内から不正な通信を行われると、会社を訴えられる恐れがあるため、不必要な通信を遮断するのが一般的です。 WEB(HTTP[TCP80]/HTTPS[TCP443]) Mail(SMTP[TCP25]/POP[TCP109,110]) DNS[TCP53/UDP53] ICMP その他業務用アプリケーション ※社内にDNSサーバが無い場合には、 DNS[TCP53](ゾーン転送)は必要ないです。 FTPは止める傾向が強いですが、 必要であれば追加してください。 FTP(DATA[TCP20]/CONNECTION[21]) 広義の[セキュリティポリシー]とは、社内のセキュリティ全般に関しての内容で、書類や部外者の扱いなども含まれます。 例えば、メールのセキュリティポリシーは以下のサイトが参考になると思います。 http://www.ejf.gr.jp/mail/mp/pdf_index.html 不明な点があれば聞いてください。 ではでは
その他の回答 (2)
- jeee
- ベストアンサー率52% (119/227)
セキュリティポリシーは、正式には「情報セキュリティポリシー」いい、つぎを参照してください。 ・国民のための情報セキュリティサイト http://www.soumu.go.jp/joho_tsusin/security/index.htm ・情報処理推進機構セキュリティセンター http://www.ipa.go.jp/security/index.html 読者層別対策実践情報 実施に当たっては、次を参照してください。 ・情報セキュリティポリシーに関するガイドライン http://www.bits.go.jp/sisaku/secu-kakuho.html なお、情報セキュリティポリシーと伴に重要なこととして、「個人情報保護」があり、この法律である「個人情報保護法」が来年4月から施行(実施)されます。 質問者の会社が、個人情報取扱事業者に該当する場合、義務が課せられますので、早期に対策を講じてください。 個人情報保護法については、つぎを参照してください。 http://www5.cao.go.jp/seikatsu/kojin/jigyousha/index.html 実際の例として、個人情報の漏洩問題を起こした会社の個人情報保護と情報セキュリティポリシーの基本方針を参照してください。 http://hikari.softbankbb.co.jp/information/policy.php http://hikari.softbankbb.co.jp/information/security.php?PHPSESSID=66e8012c29fc6c99ef366637f6a90e3d
お礼
回答ありがとうございました。
一般には... どの情報を誰が利用可能か、どのデータを暗号化するか等、情報の目的外利用や 外部からの侵入、機密漏洩などを防止するための方針を定めたものというのが セキュリティポリシーと呼ばれるようです。 また企業では、トラブルによるシステムの停止、データの喪失などに対して どう対処していくか、といった項目まで含める場合もあるようです。 FireWallのセキュリティポリシー=FWルールと考えることもあります。 LAN内から外部は自由にアクセス可能というだけではルールとしては不十分の ような気がしますが。ネットワークを使用するサービスが数多く存在するのに 自由というのはあまりに自由すぎやしませんか? またWebサーバやFTPサーバ以外は利用させたくないというのは、LAN内に抜ける ということ?それともDMZを設けるということ?それとも使用ポートを制限する? 考えることはまだまだ数多く存在するハズですよ。
お礼
回答ありがとうございます。 そうですね、自由というのは漠然的で不十分ですね。 この辺は特にどうしようか決めていないので、制限しなくてもいいかなと思ったもので・・・。 あくまで外部からの攻撃を守るというのが最大のテーマなので内側からは自由としてもいいかなぁと思いました。 ネットワークの構成はDMZの構成になっています。
関連するQ&A
- Sambaが稼動するマシンのセキュリティ環境
LAN外部用サービス(WEB、FTP、メール等)とLAN内部用サービス(Samba)を 『1台のマシンで兼用』させるのはセキュリティ的にあぶないでしょうか? LAN内のsambaファイルサーバにルータ外部からアクセスされwindowsファイル共有を しているファイルが盗まれるなどの可能性はあるのでしょうか? ※ルータの設定では外部サービス用にWEB、FTP,メールなどに対してはポートフォワーディング設定を行っていますが、sambaに対しては何も設定していません。 サーバ機:CentOS 「ルータ」→「サーバ機」(web、メール、FTP、Samba) ※なおサーバの運用は仕事とかではなく個人的な遊び目的です。 よろしくお願いします。
- ベストアンサー
- ネットワーク
- セキュリティポリシーを変更したい!
サーバ上に実行ファイルを配置してネットワーク上のクライアントPCから起動を試みたのですが、”セキュリティポリシーにより許可されていません・・・必要なアクセス許可を与えてください”といったエラーがでました。.NET Framework 2.0 Configurationにて正常に動くように環境を設定するにはどのようにすればいいのでしょうか?又、今後、複数台のクライアントPCからサーバ上の実行ファイルを起動するようになるのですが、このアクセス許可設定は、毎度やらないといけないのでしょうか?(それとも開発環境にて構成ツールにて一括変更できるのでしょうか) ご教授願います。
- ベストアンサー
- Visual Basic
- FWのポリシー
FWのポリシーで疑問があります。 TCP時の動作で、LAN→WANの80番を禁止にするとhttpのアクセスができません。 ではダウンロードを禁止したいとき。 データの流れ的にはWAN→LANになりますが、ポリシーをWAN→LANを禁止にしてもDLできます。 FWのポリシーとは、TCPのコネクション確立後のデータの方向でのポリシーではないのですか? WAN→LANの80番ポートを禁止にするとWANからの80番ポートへのTCPの確立を禁止するのであって、確立後のデータの流れを禁止することではないと思っていいのでしょうか? うまく説明ができませんが、ご存知のかたおりましたらご教授願えれば幸いです。
- ベストアンサー
- ネットワーク
- 監査ポリシーの設定について
どなたかご存知でしたら教えて下さい。 Windows2003ServerにてActiveDirectoryを構築し、ログの設定を行っております。 ローカルセキュリティポリシーを起動して、 [セキュリティの設定] → [ローカルポリシー] → [監査ポリシー]の中に各設定項目があるのですが、その中に 『ディレクトリ サービスのアクセスの監査』 という設定項目があります。 これはいったい何を意味するものなのでしょうか? この監査ログを取得するようにするとどのようなイベントがロギングされるのでしょうか?
- ベストアンサー
- Windows系OS
- DMZにWEBサーバを設置し、インターネットから接続させる場合のセキュリティ設定について
【環境】 サーバA:1.1.1.1(グローバル)192.168.1.1(プライベート) F/W :1.1.1.2(グローバル)192.168.1.254(プライベート) インターネット | | | FW(ルータ)―――DMZ(WEBサーバを設置) | | | 内部ネットワーク 【質問】 自分なりにいろいろ調べましたが、上記のようなNAT環境では以下のような点でセキュリティ上優れていると認識しました。、 「インターネット上のパソコンとWEBサーバが通信するとき、パケットの送信元/先は、FWになり、 Webサーバの存在は、通信相手から完全に隠されることになる。 外部から存在が隠される、つまり外部からはアクセスできないため、内部のホストのセキュリティが高まる」 ただ今ひとつ理解できないので、上記のような環境で何故NATを使うとセキュリティレベルが向上するか 初心者レベルで教えていただけると助かります。 ●主にわからないこと ・そもそも存在を隠すという意味合いが理解できません。 隠さなかったら、どうなるのかというのもわかりません。 また、隠すとは、グローバルIPアドレスを隠すということだと思うのですが、 Ping(例えば、ping www.yahoo.co.jp)など返ってくるアドレスは、 そのサーバのグローバルIPアドレスではないのでしょうか ・「外部からはアクセスできない」となっていますが、WEB公開している以上 なにかしらの方法でアクセスはできそうですが、どういう点で優れているのでしょうか? 理解不足のため、質問も良くわからないと思いますが、よろしくご指導ください。
- 締切済み
- ネットワーク
- windows2003でのドメインのパスワードセキュリティポリシーについて
windows2003でドメインサーバーを構築しました。 管理ツールの「Active Drectory ユーザーとコンピュータ」で ユーザを追加しようとしたところ、パスワードがセキュリティポリシー の要件を満たせないとのことでエラーとなりました。 私が入力したパスワードが単純すぎたようです。 そこで「既定のドメインコントローラセキュリティの設定」で アカウントポリシー>パスワードのポリシー、にて全ての ポリシーを未定義にしました。 これでパスワードがブランクにすることも可能になるはずです。 しかし相変わらずユーザーの追加時に複雑なパスワードを求められます。 OSを再起動しましたが、状況は変わりませんでした。 これはOSの不具合なのでしょうか。 それとも別のセキュリティポリシーを設定する必要があるのでしょうか?
- 締切済み
- Windows系OS
- windows 2003 サーバー でWEBサイト構築
windows 2003 サーバー でWEBサイト構築をしなければならなくなりました。 サイト自体はつくっているのですが、 セキュリティーやらネットワークやら知識も乏しく、 外部から侵入されるのが怖い状態です。 セキュリティーを万全にし安く仕上げなければならなく、 今のところ、FW(ファイヤーウォール)のみ考えていますが、 INTERNAL、DMZを分けるには、スイッチングバブなども必要なのでしょうか? また、これらで構築したとしても、 使用予定ののサーバーは、現在、社内でファイルサーバーとして利用しているため、 見えない不安にかられています。 どこか よいサイトご存じではないでしょうか。
- ベストアンサー
- ネットワーク
- セキュリティポリシー策定について
会社でセキュリティポリシー策定の担当になりました。 上司からはネットワークやらハッカーとか難しいことじゃなくて、FAXの誤送信やUSBメモリーの紛失による情報漏洩を防ぐにはどうしたらいいかという事を調べてくれと指示されました。 そういった施策をまとめて、うちの会社はここまではやっているのを対外的にPRしたいということですが、頭が混乱してしまっています。 (1)セキュリティポリシー策定といえば、専門の会社に任せるのが一般的なのでしょうか?NTT西日本のHPをみればコンサルだけで200万を超える費用が発生すると書かれていました。 担当者になった以上、勉強はするつもりですが、やはり外部に任せた方がよいのか悩んでいます。 (2)FAXの誤送信やUSBメモリーの紛失など、起こりうるリスクの一覧とその対処方法が書かれたホームページや書籍がありましたら紹介してください。
- ベストアンサー
- その他([技術者向] コンピューター)
- 現在、ある会社のネットワークを構築しております。
現在、ある会社のネットワークを構築しております。 DMZとかファイアーウォール等を入れております。 内部にはLANで複数のPCにつないでおります。 そのLANでつながっているPCの1台にテスト用にアパッチを入れました。 ローカルでサーバーが動くようになっていますが、セキュリティ的に大丈夫でしょうか? 外部からのアクセスを許すようなことはありますでしょうか。 あくまで、ローカルでサーバーを動かしたいです。
- ベストアンサー
- ネットワーク
- XP PROでサーバーを構築しようとおもっております。
XP PROでサーバーを構築しようとおもっております。 サーバーの内容は、ファイルサーバ、プリンターサーバ(自宅で必要) FTP、HTTPサーバ(友人とのファイル交換やHP公開) を考えているのですが・・・ 他にサーバーでできるような機能があったら教えて下さい。 こういう機能をつくっておくと便利だよ?みたいな感じでよいです。 また外部からのセキュリティを高めるためにノートンとWINDOWSセキュリティ を使用しているのですが、ネットワークのトラフィックを計測したり どこからのアクセスがあるかなどのログを残したりしたほうがよいのでしょうか? サーバーを構築する上でこれは入れておいたほうがいいというような ツールがありましたら教えて下さい(・ω・)
- ベストアンサー
- その他([技術者向] コンピューター)
お礼
回答ありがとうございました。 TCP/IPの知識が不足しているとこの辺の話が理解できないので、もっと勉強しようと思います。 ありがとうございました。