第17回 ネットワーク装置のセキュリティ強化
いつもお世話になっております。情報セキュリティ担当のJです。
今回は、「ネットワーク装置のセキュリティ強化」をテーマに書いてみたいと思います。
セキュリティ強化...というと、なんとなく難しそうですが、他の業者が導入したネットワーク装置の
入れ替えなどで、機器を解析していると、プロが設定したとは思えない、「簡単に不正アクセス
されてしまいそうなネットワーク」になっているところが意外に多い、という現状があります。
使っているユーザ側も「業者任せ」となっており、そのような設定になっていることすら、気付いて
いないケースがほとんどのようです。
「パスワードなどの認証があるから大丈夫では?」と思うかも知れませんが、
インターネット側からも「関係者以外は誰もアクセスしない"だろう"」という憶測の元に
設定してあるようで、インターネット側から入るための(1)ユーザ名やパスワードが短い
(2)よくある単語やフレーズを使っている(3)いくつかの情報を集めるとログイン情報が推測
出来てしまうということが多いように思います。
また、使う"かもしれない"設定になっていることも多く、実際には使っていないのに、
結果的にセキュリティを弱めているケースも少なくないようです。
サイバー攻撃が多発している現在では、このようなセキュリティの甘い装置やネットワークが
踏み台とされてしまう可能性が非常に高いため、
(1)インターネット側からの接続制限厳しくする
(2)ユーザ名やパスワードは推測されにくく、長いものを使う
といった基本的なことを守る必要があります。
また、ユーザ側も
(1)プロの業者を選定する
(2)業者任せにせず、自分たちもある程度は理解する
といったことも今後重要なテーマになるのではないでしょうか?
次回は、「ISMS更新審査」をテーマに書いてみたいと思います。
情報セキュリティ管理者:J