ネットワークのセキュリティ強化

インターネットの出現により、企業ネットワークのセキュリティはこれまでにない脅威にさらされています。この危険のために、ネットワークをインターネット侵入者から守ることについて、最近多くの本が書かれています。しかしながら、ネットワークはインターネットからよりは、むしろオフィス内部からセキュリティを侵害されることが多いのです。この文章では、ネットワークの保護方法について説明します。

ここで説明しているテクニックの中には、当たり前のものもありますが、これらはセキュリティを高めるために不可欠なものです。また、非常に特殊なテクニックで、最高レベルのセキュリティを求める場合にのみ必要とされるものもあります。この文章を最後まで読んでから、最適な予防手段を選択することをお勧めします。

トピック

パスワード強化の重要性
Service Pack と修正プログラム
物理的セキュリティ
結論

パスワード強化の重要性

どんなにセキュリティが優れていても、だれでもパスワードを知ることで本人になりすましネットワークにアクセスすることができます。したがって、パスワードをできる限り安全なものにすることが重要となります。しかしパスワードを完全に保護することは、事実上不可能です。Windows NT のパスワードを解くユーティリティは多数あります。このようなユーティリティは、辞書を使ってすべての可能なパスワードを推測して試すか、パスワードが見つかるまで数字と文字のすべての組み合わせを総当たり式に試すかのどちらかです。

辞書を使った解読プログラムからネットワークを守るのは簡単です。辞書にのっているパスワードを使わないようにすればよいのです。これには名前や俗語も含まれます。辞書を使ったプログラムのほとんどにはそれらが含まれているからです。

総当たり式に試す解読ツールからネットワークを守るのは、やや難しくなります。このツールを使うと、時間はかかるかも知れませんが、最終的にはパスワードは見つけられてしまうのです。ただ、幸いなことに、生きている間に不正アクセス者がパスワードを見つけるのを困難にすることは可能です。

制限の強化

総当たり式に試す解読ツールからネットワークを保護するには、まずパスワードに対する制限を強化する必要があります。図 A の [Account Policy] ダイアログ ボックスに表示されているように、多くのパスワード特性を制御することができます。次のように設定することをお勧めします。

• パスワードが 30 日以内に無効になるようにする

• すぐに変更が有効になるようにする

• パスワードの長さは少なくとも 8 文字にする

• 過去に使用した 12 のパスワードを記憶する

• 3 回失敗した後は、パスワードをロックアウトする

• ロックアウトの期間を [Forever] に設定する

図 A: Windows NT では数多くのパスワードに関する制限を使用できます

Passprop ユーティリティ

手始めとしてパラメータを設定するのはよいことですが、それだけは十分と言えません。次に、Passprop ユーティリティを Windows NT リソース キットからロードしてください。図 B に示されている Passprop ユーティリティでは、数字、記号、大文字、小文字を混合してパスワードを作成する必要があります。これを実施することで、総当たり式に試して解読するツールによってパスワードが解かれる時間を大幅に延ばすことができます。

図 B : Passprop ユーティリティにより、ネットワークのセキュリティを大幅に高めることができます

上記のような制限に従って、あるユーザーが Friday13 などのパスワードを選んだとします。パスワードの有効期限が切れると、同じパスワードは使えません。Windows NT に古いパスワードが記憶されているからです。そこで、パスワードを Friday14 に変えたとします。Passprop ユーティリティでは、新しいパスワードが古いパスワードに似ているかどうかを調べ、似ている場合は新しいパスワードは拒否されます。

管理者が何回も間違ったパスワードを入力した場合は、管理者アカウントは Passprop ユーティリティによってロックアウトされます。安全機能として、アカウントがロックアウトした状態であっても、管理者はサーバーにローカルでログオンできます。

Service Pack と修正プログラム

最新の Service Pack と修正プログラムをインストールすれば、Windows NT のセキュリティ機能を高めることができます。最新の Service Pack をダウンロードするには、https://www.microsoft.com/japan/products/ntserver/sp5/ へアクセスし、Service Pack アイコンをクリックします。図 C で示したように、40bit バージョン または 128bit バージョン1 の 2 つのバージョンの Service Pack から選択できます。

図 C : 128 bit Service Pack を使うと、 40 bit のバージョンより確実にパスワードを保護することができます
拡大表示する

bit数はパスワード暗号化の強度を示します。つまり、128 bitのほうが、より高度にパスワードを暗号化するので、総当たり式に試すツールを使用して解読するのが困難になるわけです。残念ながら、ほとんどの国では（注：日本も含まれます）、法律に反するためマイクロソフト社から 128 bit バージョンを提供することができません。そのため、ダウンロードする前に、その資格があるかを判断する質問に答える必要があります。ダウンロードする資格がある国に居住していても、128 bit Service Pack のダウンロードでトラブルが発生した場合は、約 20 米ドル （送料込み） で直接マイクロソフト社に注文できます。

*1 日本国内では40bitバージョンのみ利用可能です。

Windows NT サーバーでは常に新しいセキュリティ上の問題が見つかっています。問題が見つかり次第、マイクロソフト社は修正プログラムをリリースしています。新しい Service Pack をリリースする際には、すべての修正プログラムを組み込んでいます。ただし、新しい Service Pack を待たなくても、最新の修正プログラムを Microsoft TechNet 製品別修正プログラム一覧 https://www.microsoft.com/japan/technet/security/advisory/default.mspx から入手することができます。図 D で示しているように、修正プログラムは、インストールした Service Pack に従って構成されています。たとえば、Service Pack 5 をインストールしている場合は、hotfixes-postSP5 ディレクトリにある修正プログラムを適用してください。

図 D : マイクロソフト社は、最新の Service Pack のリリース後に発見したセキュリティ上の問題を解決する修正プログラムをリリースしています
拡大表示する

物理的セキュリティ

ほとんどすべての Windows NT に関する本では、セキュリティについて幅広く採り上げています。なんと言っても、セキュリティ機能は Windows NT の最大の特徴の 1 つだからです。ただし、ほとんどの本では物理的セキュリティについての説明がまったくないのが実状です。物理的セキュリティの重要性を強調しないわけにはいきません。サーバーをソフトウェアでどのように強固に保護したとしても、不正アクセス者がシステムに物理的にアクセスできるのであれば、システムは簡単にハックされてしまうからです。

物理的セキュリティはデータ保護のためにとても重要なので、優れた物理的セキュリティを導入する方法を詳しく検討する必要があります。ネットワークのすべての基本コンポーネントを調べて、安全性を高める方法を検討することが、おそらく最良の方法でしょう。

ハブとルーター

ご存知かもしれませんが、ハブとルーターはデータを最終目的地に導く働きをします。ネットワークの構成次第では、ネットワーク全体で送信されるデータが、すべてたった 1 台のハブやルーターを通過するということも考えられます。情報を盗もうとしている人にとっては、そのような装置は格好のターゲットとなります。

ハブに物理的にアクセスできれば、不正アクセス者はプロトコル アナライザを接続するだけで、そこを通るすべてのパケットのコピーを入手することができます。パケットを保存してしまえば、不正アクセス者はあとから自宅でゆっくり、捕まる心配をせずにそれを解読することができます。このような筋書きは非現実的に聞こえるかもしれませんが、実際に起こりうることなのです。最近のプロトコル アナライザはバッテリなしで稼動し、電卓ほどの大きさで、数 GB のデータを記録することができます。配線室の複雑な配線の束の中にそのような装置をしのばせることは簡単です。

言うまでもなく、ハブやルーター、その他のスイッチ装置のある場所はすべて施錠することが不可欠です。その他の予防措置として、ラック マウント式のハブとルーターを購入することもできます。これらの多くは施錠したキャビネットの中に取り付けられているので、データ泥棒に対する二重の防御となります。

配線

物理的セキュリティの中で一番見落とされがちなのは、おそらく配線そのものでしょう。不正アクセス者が表に出ているネットワーク ケーブルにアクセスできるのであれば、データをいくつかの方法で盗むことが可能です。この意見の正当性に疑問を抱かれるかもしれませんが、本当なのです。

ほとんどの種類のネットワーク (Ethernet などのブロードキャスト ベース、またはトークン ベース) では、データを送りたい PC にだけデータが送信されることは決してありません。むしろ、データは配線接続されているすべての PC に送信され、意図されたデータ受信者以外の PC がそれを無視するという形を取っています。このデータ ブロードキャストにより、すべての機能しているネットワーク ケーブルでデータが搬送されています。そのため、不正アクセス者はパケットがケーブルを通るときに傍受し、それを入手することができます。

幸い、ネットワークをそのような侵入から守ることは可能です。まず、機能しているネットワーク ケーブルを表に出さないようにします。できる限り、ケーブルは露出せず、壁や天井、床下に配線します。そうすれば、不正アクセス者は機能しているケーブルを見つけることが困難になります。

ただし、このレベルのセキュリティを心配しているのであれば、不審者が建物に侵入できないような配慮はすでに行っていることでしょう。したがって、物理的アクセスを使ってデータを盗もうとしている人がいるとすれば、おそらく合法的なネットワーク アカウントを持ち、特別な傍受装置は必要としない、信用している従業員ということになります。すでに、従業員がログオンできる時間帯や、どの PC を使えるかをコントロールする措置を取っているかもしれませんが、卑劣な不正アクセス者はそのような規制をうまくかいくぐる手段をいつも見つけます。

たとえば、従業員が NT にログオンするには、自分専用の PC しか使えないようにしたと仮定しましょう。不正を働こうとしているある従業員の PC がたまたまラップトップだったとします。その従業員が建物の離れた場所で、空いているジャックを見つけて接続しハックするのを防ぐことはまったく不可能です。そのような行為を日中に行うと人目に付くし、従業員は夜にはログオンを禁止されていると考えることもできます。その考えは間違っていませんが、皆が昼食に出ている間にハックするかもしれません。もし従業員が夜にハックしたい場合は、単にジャックに接続してラップトップでプロトコル アナライザ プログラムを実行することができます。というのも、そのようなプログラムでは、データを入手する際にログインする必要がないからです。

この例では、離れたどこかの場所にあるジャックに不正アクセス者がアクセスできるため、ハックが可能です。そこで、使用中でないジャックはすべてハブとの接続を切る必要があります。そうすれば、データがそこを通ることがなくなり、ハックを試みる人には役に立たないものとなります。ネットワークにツイスト ペア ケーブルではなく同軸ケーブルを使っているのであれば、使用していない T コネクタをすべてバレル コネクタ（分岐がなく、単に2つのケーブルを中継接続するだけのコネクタ）に取り替えます。もちろん、不正アクセス者が PC の後ろからネットワーク ケーブルを取り外し、それをラップトップにつなぐことは可能です。ただし、ネットワーク内の PC は目に付くところに配置されていることが多く、不正アクセス者がこの方法を使うと、不必要に人の注意を引くことになります。

テープのバックアップ

毎晩、ほとんどのネットワーク管理者はテープ カートリッジにサーバー全体 (または複数のサーバー) のバックアップを作ります。それによって、データ紛失の際には、サーバーの全部または一部を魔法のように復元することができます。しかしデータ泥棒にとっては、これはまたとない機会です。バックアップはたいていの場合、皆が寝静まった夜中に行われ、小さなポータブルなカートリッジに記憶されます。バックアップ テープのコピーを盗むデータ泥棒は、自宅にサーバーをセットアップし、テープのデータ部分だけを復元して、ネットワークのセキュリティを完全に役に立たなくすることができます。

ありがたいことに、そのようなテクニックをほとんど不可能にすることができます。そのためには、バックアップ装置のある場所が施錠されているかどうかをまず確かめます。緊急の場合に備えて、最近のバックアップ テープを 1 本手元に置いておきます。ただし、それは防火金庫に保管してください。他のコピーは、離れた安全な場所に保管します。

次に、テープへのアクセスにはパスワードを使うように、バックアップ プログラムを設定します。こうすれば、もしだれかがテープを盗んでも、パスワードを見つけない限りそれを使用できません。前述のように、Windows NT のパスワードを見つけるプログラムは多数あります。ただし、テープ バックアップのパスワードを見つけるためのプログラムは今のところ存在しません。

最後に、毎晩のバックアップには空のテープを使うようにします。テープを再利用したい場合は、まず消去してからバックアップを行います。次に、バックアップ ログを見て、毎晩バックアップを終了するのにかかった時間を計算します。できれば、翌朝出勤 15 分後にバックアップが終了するように設定します。

たとえば、バックアップに 2 時間かかり、午前 7 時に出勤するのであれば、バックアップを午前 5 時 15 分から始めます。そうすれば、夜中にテープを盗まれたとしても、それは空のテープです。朝の出勤時には、バックアップはまだ終了直前です。終了したらすぐにドライブから取り外し、テープを金庫にしまいます。

残念なことに、このテクニックはいつも実用的であるとは言えません。たとえば、他の人が先に出勤して、パックアップが終了する前にデータにアクセスしようとすれば、データが破損するおそれがあるからです。そのような場合、まず早く出勤する人が使ったデータをバックアップし、後で重要でないファイルをバックアップするといったように、ディレクトリをバックアップする順序を再調整してみるとよいでしょう。

他の人が先に出勤するのであれば、この方法を実行に移す前に、バックアップによってどの程度のトラフィックがネットワークに生じるかも測定する必要があります。ネットワーク アーキテクチャによっては、バックアップが多大なネットワーク トラフィックを要するため、その他の作業がほとんど不可能になる場合があるからです。

サーバー

サーバーに関するほとんどの物理的なセキュリティのテクニックは、ごく一般的な方法です。サーバーを施錠した部屋などに設置し、管理者アカウントでログオンしたままにしないことです。

サーバーによっては、鍵付きのパネルを装備し、フロッピー ドライブ、CD-ROM、電源スイッチや内部へアクセスするためのパネルに物理的にアクセスできないようにしているものがあります。サーバーにそのようなパネルがある場合は、それを使用します。鍵付きのパネルがない場合は、サーバーの CMOS セットアップを使い、フロッピー ディスクと CD-ROM からのブート アップを無効にするとよいでしょう。次に、CMOS セットアップをパスワードで保護し、内容が変更されないようにします。

ただし、CMOS セットアップはパスワードで保護しても、ブート アップにはパスワードを設定しないでください。これを設定すると、サーバーの異常終了時の青い画面後に自動的にリブートするように設定されている場合、パワーオン パスワードを待ったままの状態で停止してしまいます。

通常、サーバーをリブートすると、自動的に Windows NT がロードされます。ただし、サーバーの多くは DOS とデュアル ブートするようにセットアップされています。そのため、システム パーティションに問題がある場合は、DOS でブートし、問題を修正することができます。これはサーバーにとっては非常に優れたセットアップ方法ではありますが、ハードウェア実装の RAID ドライブを使用していないのなら、BOOT.INI ファイルを修正して、DOS 環境への参照を削除する必要があります。こうすることにより、不正アクセス者はサーバーを DOS でリブートし、情報を盗むために NTFSDOS のようなユーティリティを実行するのが困難になります。DOS パーティションにアクセスする必要がある場合は、一時的にフロッピー ディスク ブートを使えるようにして、ブート ディスクを使います。

結論

本文では、データ泥棒や、悪意を持つ人からネットワークを守るさまざまな方法について解説しました。独自のセキュリティ方針を実施する際、ここにあげたテクニックのいくつかは、重要機密にかかわるデータを含むネットワーク以外の場合は過剰であるかも知れないことに留意してください。優れたセキュリティ方針が必要である一方、ユーザーが多くの制限事項が気になることなく効率良く仕事ができるよう、十分な自由を与えるようにしてください。

ブライエン M. ポージーは MCSE の資格を持つフリーランスのテクニカル ライターで、国防総省のネットワーク エンジニアも務めています。

出典 :

http://www.techrepublic.com/

本ドキュメントは、米国マイクロソフトが作成したホワイトペーパーをベースに翻訳したものであり、ドキュメント内で利用されているアプリケーションの画像などは、日本語版とは機能やメニュー表記などが異なる場合があります。