• ベストアンサー

企業のシステム担当者に質問です

現在、当社のネットワークセキュリティのレベルはブロードバンドルータにステートフルインスペクションを設定しているだけです。公開しているサーバーはありませんのでDMZの設定はしておりません。 今のままだとWEB等からのウイルスによる侵入は検知できません。また未知のウイルスに侵された場合にウイルスがインターネットへパソコンの情報を流してしまった場合の阻止もできません。 ですから、もう一つのファイアウォールとしてアプリケーション型のファイアウォールを構築したいと思うのですが、正直中小企業レベルでそこまでやる必要があるのかなとも不安に思います。 そこでみなさんの企業ではどの程度のセキュリティを構築しているのか、教えていただけないでしょうか? また、私の考えは正しいのかそうでないのかもご教授してくださるとありがたいです。 ネットワークセキュリティについて勉強中なので、すみませんが教えてください。宜しくお願いします。

質問者が選んだベストアンサー

  • ベストアンサー
  • o_tooru
  • ベストアンサー率37% (915/2412)
回答No.5

こんばんわ、疑問はつきませんね。 さてご質問の件ですが、私のところでは、SEと相談して、ファイルサーバにトレンドマイクロの、サーバープロテクトを、各クライアントにコーポレートエディションを導入しました。 また、外部へ向けては、ソニックウオールを入れています。アプライアンスにしたのは、メンテナンスに手間がかからないところがいいと判断したからです。ただ年間サポート料が、10万円程度かかります。 また、設定も業者のSEがやりましたが。

takuya93
質問者

補足

回答ありがとうございます。 ソニックウォールとは何でしょうか? 何か気になるので調べてみます!

その他の回答 (5)

  • o_tooru
  • ベストアンサー率37% (915/2412)
回答No.6

SonicWALLは ファイアーウォールです。ソフトウエアとしてサーバーなどに入れるのではなく、ハードウェアーとして販売しています。 ですので、メンテナンス的にも非常に楽です。(ファームウェアのアップデートだけ)保守契約を結んでおくと、万一故障したときも、代替品を貸してくれるなど、安心です。

参考URL:
http://www.sonicwall.com/japan/
noname#41381
noname#41381
回答No.4

#3補足より >すべてのクライアントを一括管理でき、常に全パソコンが最新の状態に保てるのでやはりこちらを優先したいです。 > VBCEを入れられているということで、トレンドマイクロ製品から話を... うちでもVBCEを導入してます。 で、ゲートウェイ製品としてInterscanViruswallをFirewall-1のCVPとして動かしていましたが、 動作が遅い、見られないページがある、CVPだと問題がある度にFirewall-1側の設定変更がかかる などで、結局FTPとメールトラフィックのみのチェックで、 安全と思われるサイトのhttpトラフィックはスルーさせています。(自動プロキシ等で) httpトラフィックだけなら、InterScan WebProtect for ICAP を入れるべきなのでしょうね。 http://www.trendmicro.com/jp/products/gateway/iswp-icap/evaluate/overview.htm ただ、SPARCマシンが必要になるので、お高くつきますし管理も大変になるでしょう。 これなら、NAIやSymantecのアプライアンス製品も検討されたほうがいいかもしれませんね。 http://www.nai.com/Japan/products/mcafee/ws.asp?menu=home http://www.symantec.com/region/jp/products/sgs/index.html 50ライセンス程度であれば、NAIのe500で300万円程度、Symantecの5310で150万円程度ですね。 ですが、今回のDCOMの脆弱性からみて、個々のPCでのパーソナルファイアウォールの必要性を 感じた人も多かったのではないでしょうか? #それ以前にWindowsアップデートにおいてSUSの導入の必要性かな? ということで、もし他社製品への乗り換えができるのであれば、 パーソナルファイアウォールまで管理できるSymantec Client Securityなんかはどうですか? http://www.symantec.com/region/jp/products/scs/index.html 今ならキャンペーンで50ライセンスなら@7,900円×50=395,000円ですね。 それでもユーザよりの製品で、管理者として導入するかは悩みどころですが...。 #少なくともブロードバンドルータ付属のファイアウォールだけとなると心配ですね。 #自分なら、まずはNetscreenなりFireboxなりSonicwallなり #安価でもいいので、専用ファイアウォールを選択してしまいますね。 まだまだ安くて高性能の他社製品等もあるでしょうから、 これから調べられる足がかり程度でお願いします^ ^;;

参考URL:
http://www.symantec.com/region/jp/products/scs/index.html
takuya93
質問者

補足

こんばんわ!シマンテック製品は昨日私も目をつけました。中々気が合いますね! >少なくともブロードバンドルータ付属のファイアウォールだけとなると心配ですね。 私もそう思います。 >ゲートウェイ製品としてInterscanViruswallをFrewall-1のCVPとして動かしていましたが、動作が遅い、見られないページがある、CVPだと問題がある度にFirewall-1側の設定変更がかかる やはりソフトウエアですとパフォーマンスが落ちるのでしょうね。だとするとハードウエア製品を選択した方が良いのかな? 後は色々調べて当社にはどのような製品が良いか選んでみたいと思います。ありがとうございました。

noname#41381
noname#41381
回答No.3

>正直中小企業レベルでそこまでやる必要があるのかなとも不安に思います。 > そこら辺の判断は、リスク分析になるかと思います。 ファイアウォール製品、コンテンツフィルタ、IDS等いろいろ検討する製品はあるとは思いますが、 とりあえずtakuya93さんのご質問の中で >WEB等からのウイルスによる侵入は検知できません。 > >ファイアウォールとしてアプリケーション型のファイアウォールを構築したい > とウイルス対策、リーク対策が主のように思えますので、 まずは各PCにパーソナルファイアウォール機能を保持したウイルス検知ツール導入でいいのでは? Norton Internet Security2003とか。 #ただ、本格的なリーク対策は難しいでしょうね。

takuya93
質問者

補足

回答ありがとうございます。 パーソナルファイアウォールを各クライアントPCに導入すれば、コストもあまりかけずに済みますが、現在当社はコーポレート型ウィルスソフトを導入していますので、パーソナルFWの機能は残念ながらありません。すべてのクライアントを一括管理でき、常に全パソコンが最新の状態に保てるのでやはりこちらを優先したいです。 こうなった場合やはり、ゲートウエイで対策するしかないのかなと思いアプリケーション型FWの導入を考えていたのです。 ここまで考えているなら聞かずにやれよ。と言われればそれまでですが、まだ経験が不足しており自分に自信がないので、他企業様はどのようなシステム構築をされているか知りたかったのが本音です。

  • densha
  • ベストアンサー率29% (333/1123)
回答No.2

>中小企業レベルでそこまでやる必要があるのかなとも不安に思います。 会社の大小ではなく、情報の重要性だと思います。  私は、零細ですが、一応の対応はしています。 ルータとアプリケーション型のファイアウォールの併用もそれぞれの特徴を生かす必要があると思います。 私の場合は、(主な用途は)前者はインバウンド(とDos攻撃)に対して、 後者はアウトバウンド(と検知)に対してです。  無線LANも(火壁を追加して)必要時だけ使っています。  顧客情報は、ネットに非接続のPCに入っているので、 ある意味ネットセキュリティは、完璧ですね(笑)  小さいから企業だからこそ、顧客の信用を失うと立ち直れませんから・・・・・ 大企業ほどお金をかけられませんが、ネットセキュリティのインフラ以外にもセキュリティの落とし穴が多いので、その辺りも強化なさる必要があります。 IDとPASSWORDを手帳に書いて持ち歩いている社員さんがいませんか? 携帯するPCの空き領域(のクラスタに残っているが復旧できる消したはず)の部外秘のデータを完全に(上書き)消去していますか?  繋がっている限り100%はないですが、ソレを100%に近づける事に要する費用と効果(費用対効果)によって考える必要があります。 情報漏洩で会社が被る被害に対する保険料と考えると、 かけるコストも想像しやすいと思います。  私の場合は Internet   |   ルータ - (家庭用)LAN   |  LAN(仕事用)   | FW(アプリ)   |   PC - 無線ルータ - 無線LAN Win2000で再ルーティング   |  他のPC 各PCにノートン等のセキュリティソフト という構成です。 仕事用のLANでは、以前はTCP/IPを使わなかったのですが 今は仕方なく・・・・ どんなに火壁を多く使っても、冗長なだけで使い方次第ですが、 設定ミス・スキル不足等の人為的を避ける意味で複数準備しています。 その道のプロではないので、ご参考になるのか不安です。

takuya93
質問者

補足

丁寧にありがとうございます。 参考にさせていただきます。

  • redsky
  • ベストアンサー率18% (66/360)
回答No.1

システム担当の者です。 ポイントをあげます。 1.メーラーはOE以外のものを使う。 2.サーバー、クライアントにウイルス検知ソフトをいれる。 3.ファイアーウォールで余計なポートは開かないように設定する。 この3点だけでかなりセキュリティに関する業務負担は減ります。 パッチ当てについては、正直言って毎日あれだけの量のパッチをこまめに当ててはないです。 だからサービスパックなどが出たりしたタイミングで全社一斉にあてます。 今回のウイルスも、FWで攻撃対象のポートをとじていたので、無害ですみました。 ご参考までに。

takuya93
質問者

補足

回答ありがとうございます。 1.と2.は大変よくわかりました。 あと、すみません質問なのですが、 3.は逆に必要なポート、例えばWEBポートに攻撃プログラムが含まれていた場合どういった対処がありますでしょうか。またウイルスの場合ウイルスソフトが未対応の場合もどういった対処が必要でしょうか。すみません勉強中なので、見当違いな質問であればご指摘ください。

関連するQ&A

専門家に質問してみよう