NW屋的日常徒然日記

ネットワークを専門にする元社内SEの日常とITネタ諸々を綴って行きます。

クローズドネットワーク神話の問題点について話す機会がありました(2)

 こんばんは。先程の続きになります。クローズドネットワークは、ウイルス感染したUSBメモリやUSBハードディスク等のような可搬媒体が接続された場合はどうしょうもなくなるという問題があります。

 ここで思考停止しそうになることがあります。「電子カルテシステムのような機密性の高いネットワークはインターネットに接点を持つのは危険だ」という発想の呪縛から逃れられないというのはあるようです。

 そこで、如何にして発想の転換が出来るかどうかが肝要になってきます。「クローズドネットワークとインターネットとの間にFWを挟んで、ウイルス定義ファイル提供サーバへアクセスするためのIPアドレス(とポート)を指定して、他の通信を通さないようにする」という風に話をしました。

 「外界(インターネット)への接続を完全に遮断するよりは、厳密に管理された環境で必要最小限のアクセス許可をするようにしておく方が安全だ」という風に発想の転換が必要だという話をしていました。

 どうしてもインターネット側へ出て行かないといけない場合は、FWでピンポイントに対応するしかないのですが、クローズドネットワーク内でも対応可能な場合はそれでもいいはずです。

 その例がNTPサーバではないでしょうか。インターネット上にあるNTPサーバに接続しに行こうとすると、FW側で123/udpを特定のNTPサーバに対して開ける必要があります。しかし、SEIKO他のメーカーからGPSやFMラジオを参照して時刻源とするNTPサーバが販売されています。こちらを使えば、FWに穴を開ける必要はありません。

 なので、「FWを挟ませる。その場合でも、開けずに対応出来るものはそちらを使う」という発想を共有出来れば、より安全なシステムを作ることが出来るという話をしてきました。