- 締切済み
検疫ネットワークに替わるセキュリティについて教えて下さい
検疫ネットワークに替わるセキュリティについて教えて下さい 某公共団体のネットワークを管理・運用しているものです。 現在館内の無線ネットワークに接続する持込PCのセキュリティ対策として、検疫システム(iNetSec)を導済みです。しかしながら、このシステムで検疫・接続できるのはWindows2000、XP、Vistaのみであり、これ以外のOS(Win7やMacOS、iPhon用のiOS等)は接続できません。 以前はこれでもよかったのですが、近年スマートフォン及びWindows7搭載PCが急速に普及してきた結果、「新しいものほど接続できない」という事態になっており、苦肉の策として「Mac及びWin7は検疫をスルーさせる」という対応を業者に頼みました。 (この対応だけでも結構な額を払いました) こんな穴だらけ状態ならば、毎年の保守費を払うのも無駄なので、いっそ検疫システムを外してしまいたいところなのですが、上からは「検疫システムと同等のセキュリティが担保される何か」案を出せと言われて困っております。(「持込PC全てにウィルス対策ソフトを無償提供する」等) ようは役所の常で、このような有名無実化した検疫システムであっても、外した後でなにか問題が起きた時に「替わりにこれこれの対策はしていました」と言えなければならない、と。 検疫システムに替わる何か良い案はないでしょうか? 尚、現在の検疫システムでチェックしているのは大きく以下の3点です。 また、認証サーバも入れており、ユーザID/PWを保有していなければ、たとえ検疫OKでも館内LANには接続できない仕組みになっております。 ・Windows Updateの最新パッチが当たっているか ・ウイルス対策ソフトがインストールされているか ・Winnyなどの禁止ソフトが入っていないか 以上よろしくお願いいたします。
- みんなの回答 (4)
- 専門家の回答
みんなの回答
- pakuti
- ベストアンサー率50% (317/631)
論じる方向性が間違っていると思われます。 なぜ、Windows7等の対応が出来ないのか?する気はないのか?を メーカーに問い合わせするべきでしょう。 Macは別としても最低限、Windows7対応はさせるべきです。 いつ対応予定なのか?を明確にし、その上で対策を練るべきではないでしょうか? Mac等の場合の除外など、最初の提案段階で考慮しておくべきであったと思いますし 除外が簡単に出来ないのであれば不良品だ!お金を返せ!とやるべきです。 (導入前のプレゼン時にそのような説明があったのであれば話は別ですが。。。) 顧客として改善要求は普通だと思います。 ファームなりを更新する上で手数料がかかるならまだしも 除外して。。。などメーカーが取る対応ではありません。 メーカーを厳しく追及するべきでしょう。
- hs001120
- ベストアンサー率60% (473/788)
> 言葉足らずで失礼しました。外部の人間ではなく、ユーザIDを持っている関係者が館内のパソコンではなく、個人のパソコンを使用するというものです。 それこそが、大きな問題だと思います。 なぜ、関係者だからと言って個人のパソコンを使用することが許されるのでしょう? 個人のパソコンは個人の私用にも使う(使う事を阻めない)ですよね。 データをハードディスクに入れっぱなしにして持ち帰り、持ち帰り途中で電車に置き忘れとか 自宅からネットワーク経由でダタ漏れとか よく聞く理由は「予算が・・・」というものですが、 「私物を使えば良い」が常態化して、許容されていれば、いつまで経ってもパソコンの買い替え予算なんか不十分にしか付かないです、 多様なパソコンを繋ぐためにバカ高いセキュリティ対策システムを購入して、なおかつ穴だらけなんて、本末転倒です。 私物のパソコンの業務使用禁止化は大きな流れですが、けっして「きれいごと」ではありません。 セキュリティ対策は必須の前提で、リスクを含めて冷静にパソコンの買い替え費用含めてトータルで考えると 私物のパソコンを許容することは、実は高く付く(安上がりとは言えない)から禁止しているだけの事です。 企画されるお立場であれば、一度比較表を作ってみることをお勧めします。 >関係者が館内のパソコンではなく、個人のパソコンを使用する を許し続ける前提で、それを許容するシステムを構築・運用することが、 安全性を保証した上で安あがりな選択だなんて、責任をもって説明なんて出来ないはずです。 当然、費用には >「館内で接続したいPCを窓口へ持ってこい。チェックしてOKなら接続させてやる」(MACアドレスで許可) >というのもアリだとは思います。(ただ数が多いと運用が回らない) を運用する人の人件費も含めてです。 >一応「ここまではやってます」という形だけは整えたい、というのが上の考えなのです。 形式主義は公共団体の習いでしょうが、前例重視も公共団体の習いのはずです 情報漏洩事故の多くは関係者の私物パソコン経由からであり 事故が発生してから、対策報告として私物利用を制限している 他所の前例に習う方向の方が説得しやすいかもしれません。
お礼
ありがとうございます。 他所の団体の例も探してみます。
- koi1234
- ベストアンサー率53% (1866/3459)
実際の製品仕様などを確認したわけではありませんが http://www.sonicwall.com/japan/ にあるような機器側での統合化対策されたものを使うしかないのではないかと思います ただし市販のスイッチングHUBでも入ったらそこに穴ができる気がします (すべてこの系統のもので構築しないと無意味だと思います) 一時期ルータにセキュリティソフトが内包された 機器が出てましたが最近絶滅したのかほとんど聞かなくなりました
お礼
ありがとうございます。 いちど業者に相談してみます。
- SaKaKashi
- ベストアンサー率24% (755/3136)
なぜ外部の人間のパソコンの持ち込みを許しているのでしょうか? そもそも、その点が問題なのではないでしょうか。 >・Windows Updateの最新パッチが当たっているか >・ウイルス対策ソフトがインストールされているか >・Winnyなどの禁止ソフトが入っていないか これは目でも確認できますよね。 但し、「ウイルス対策ソフト」は製品を限定しないと意味がないですね。ざるのような製品やセキュリティ対策を装った真逆のものもありますから。 >また、認証サーバも入れており、ユーザID/PWを保有していなければ このユーザID/PWの有効期間の管理がきちんとできているのでしょうか? 逆にユーザID/PWが誰かから別の人間に漏れればざるでしょうからね。
補足
>なぜ外部の人間のパソコンの持ち込みを許しているのでしょうか? 言葉足らずで失礼しました。外部の人間ではなく、ユーザIDを持っている関係者が館内のパソコンではなく、個人のパソコンを使用するというものです。 >これは目でも確認できますよね。 >但し、「ウイルス対策ソフト」は製品を限定しないと意味がないですね。ざるのような製品やセキュリティ対策を装った真逆のものもありますから。 「館内で接続したいPCを窓口へ持ってこい。チェックしてOKなら接続させてやる」(MACアドレスで許可) というのもアリだとは思います。(ただ数が多いと運用が回らない) ちなみに今の検疫では、ウイルス対策ソフトは「5大ソフト+α」に限定してます。 >逆にユーザID/PWが誰かから別の人間に漏れればざるでしょうからね。 スポット来館者への貸しIDの管理は厳格にしてますが、常勤の人間のIDは「性善説」ですから、結局は「ざる」なんでしょうけど、一応「ここまではやってます」という形だけは整えたい、というのが上の考えなのです。
お礼
ありがとうございます。 Windows7の件については、仰る通りですので、随分と業者とやりあいました。 対応しないわけではないが、対応が遅く、しかも数百万円かかると言われまして。 結局スルーさせる対応のみ無償で行うというところで折り合いました。 新しいOSが出るたびにこれでは、今後の保守が馬鹿馬鹿しいので止める方向で検討しています。 (これ以上業者とやりあう労力も惜しいので) 要求仕様の段階で詰めが甘かったこちらにも落ち度はありますね。 今後、肝に銘じたいと思います。