IM導入時のセキュリティ・ベストプラクティス：Column

企業にとって、重要なコミュニケーションツールになりつつあるIM。高い費用を掛けずにIMをセキュアにするためのアドバイスとベストプラクティスを紹介する。

≫ 2007年07月06日 05時00分公開

[Joel Dubin，TechTarget]

　インスタントメッセージング（IM）は、中堅・中小企業（SMB）にとって、社内外のコミュニケーション用として便利なツールである。コストも掛からず、導入も簡単だ。

　しかしIMがセキュアに構成されていないと、社外との接続が高くつくことがある。ウイルスやトロイの木馬などのマルウェアはIMに便乗することにより、電子メールの添付ファイルを利用するよりもはるかに簡単に社内のネットワークに侵入できるのだ。IMメッセージに悪質なWebサイトへのリンクが含まれていたり、IMを通じて機密データが外部に流出したりする恐れもある。IM経由のSPAM（SPIMとも呼ばれる）も脅威である。

　このため、IMにはセキュリティ対策が欠かせない。高い費用を掛けずにIMをセキュアにするためのアドバイスとベストプラクティスを以下に紹介する。

IMツールを統一する

　社内用のIMには、1種類の企業向けアプリケーションを使用するようにすること。最近では、多くのベンダーがSMB向けのIM製品（IBMの「Lotus Sametime」など）を提供している。こういった製品は、企業のファイアウォールで守られた専用のサーバにインストールする。この専用サーバは、ほかのサーバと同じように堅固にすること。すなわち、アクセスは許可されたユーザーだけに制限し、不要なサービスは無効にし、ウイルス対策ソフトウェアをインストールし、常に最新のパッチを適用するということだ。IMソフトウェアのクライアントコンポーネントをインストールするデスクトップも同様に、最新のウイルス対策ソフトウェアおよびホストベースのファイアウォールを組み込むなどして堅固にしなければならない。

社外とのIM通信を制限する

　社外とのIM通信は、リアルタイムでコミュニケーションを行う必要がある従業員だけに許可すること。AOL、Yahoo!、Microsoftなどが提供しているコンシューマー向けIM製品を社内で使用してはならない。「Jabber」や「Akonix」などのエンタープライズインスタントメッセージング（EIM）ソフトウェアを使用すること。

暗号化機能を提供しているEIMプロバイダーを選ぶ

　SSLを利用すれば追加コストなしでメッセージを暗号化することができる。メッセージが80番のポートを通過するかどうかにかかわらず、IMメッセージは従来型のHTTPトラフィックであることに注意。

アクセスを制限する

　EIMをホストしているサーバは社内用のIMサーバと同様、アクセスを制限し、最新のパッチおよびウイルス対策ソフトウェアによって防護を強固にしなければならない。EIM用サーバもファイアウォールの背後に置かなければならないが、社内用のIMサーバと違ってインターネットにアクセスする必要がある。EIMへのアクセスだけを許可し、コンシューマー向けIM製品が使用する共通ポートはブロックするというルールをファイアウォールに追加すること。

通信を制限する

　通信相手は信頼できる既知の相手のみになるようにEIMのメンバーリストを構成する。これにより、悪意を持ったユーザーがIM経由で会社のネットワークに侵入するのを防ぐことができる。

すべてのIMトラフィックを監視・記録する

　これにより、悪質なインバウンドトラフィックや不適切なアウトバウンドトラフィック（機密の企業データやファイルを社外に送信するなど）を検出することができる。

本稿筆者のジョエル・デュビン氏はCISSP（公認情報システムセキュリティ専門家）資格を持つ独立系コンピュータセキュリティコンサルタント。セキュリティ分野のMicrosoft MVPに選ばれ、Web／アプリケーションセキュリティを専門とする。著書の「The Little Black Book of Computer Security」はアマゾンで購入できる。「The IT Security Guy」ブログも運営している。