検索
特集/連載

外部パートナーからのアクセスをどう管理するか危険を回避してニーズを満たすには

企業がパートナーやベンダーに対してセキュアなアクセスを実現するための最善のアプローチを選択する方法とソリューション導入のベストプラクティスを5つのシナリオで紹介する。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 パートナーやベンダーなどの外部企業(以下、パートナー企業と総称)に自社のシステムへのアクセスを許可すると、ただでさえ複雑なアクセス管理の枠組みに、煩雑な要素がまた1つ加わることになる。ビジネスを効率的に運用し、収益を拡大するためには、外部企業が重要なシステムおよびデータにアクセスできるようにする必要がある。その一方で、迷惑な侵入者や敵意を持った侵入者が社内システムに不正にアクセスすることがないよう十分に警戒しなければならない。

 現実には、パートナー企業についてのアクセス管理は、モバイル機器で外出先からアクセスする社員や在宅勤務の社員に対する従来のアクセス管理の延長にすぎない。ただ、注意しなければならないことも幾つかある。社員は企業のディレクトリサービス(Active DirectoryやLDAPなど)に既に登録されている。つまり、彼らは既に社内ネットワークの一部となっている内部の人間であり、ITセキュリティ設定が異なる別のネットワークからアクセスする外部の人間ではないのだ。

 では、企業がパートナーに対してセキュアなアクセスを実現するにはどうすればいいのだろうか。パートナー企業のスタッフの中には自社と緊密に連携して仕事をしており、ほとんど自社の社員と見なせるような人もいるだろう。そうしたパートナーからのアクセスも、厳格なフィルタリングが必要とされる危険なコネクションとして扱うべきなのだろうか。それとも彼らを標準のディレクトリサービスに追加し、通常の社員と同じように扱うべきなのだろうか。

 その答えは上記の両極の間にあり、3つのファクターが関係する。「パートナー企業がアクセスする必要があるデータの種類と量」「そのデータにアクセスする必要があるパートナー企業のユーザー数」そして「そのパートナー企業のリスクレベル」だ。

 これらのファクターを検討する前に明確にしておかねばならないことがある。それは、最終的な決定は、セキュリティ要件ではなくビジネス要件に基づかなければならないということだ。セキュリティ要件はビジネスニーズによって決めるべきものであり、その逆であってはならない。セキュアなパートナーアクセスを実現する普遍的なアプローチなどは存在しない。ビジネス上のニーズに応じて、パートナー企業の徹底したリスク評価に基づいた適切なレベルのセキュリティ対策を自社のネットワークに適用する必要があるのだ。

セキュアなパートナーアクセスを実現する手法

 パートナー企業にセキュアなアクセスを提供する手法としては、ファイアウォールルールの例外規定といった簡単なものから、T1回線の暗号化、SSL VPNを用いたエクストラネットなど多くのアプローチが存在する。最善のアプローチを選択する方法、ならびにそのソリューションを導入するベストプラクティスを以下に紹介する。

 最初のステップは、自社のシステムへのアクセスを必要とする可能性のあるパートナー企業に対する徹底的なリスク評価を行うことだ。すなわち、第三者が自社の社員と同じように社内のシステムにアクセスすることを、自社のITセキュリティポリシーに照らし合わせて評価するのだ。チェックすべき項目としては、相手のセキュリティポリシー、アクセス管理システム、物理的セキュリティ、スタッフに対するセキュリティ、ファイアウォール、ITインフラのセキュリティなどがある。そのためには、パートナー企業への立ち入り検査を行う必要があるかもしれない。

 これは面倒な作業に思えるかもしれないが、自社のセキュリティがパートナー企業のセキュリティにリンクしていることを忘れてはならない。パートナー企業でセキュリティ事故があり、自社のデータが関係しているとしたら、どの会社の名前が新聞に載るのか考えていただきたい。世間は──そして恐らく法律家も──こういったケースでは、企業とそのパートナー企業を区別したりはしないものだ。

 次に、必要とされるアクセスという観点からリスク評価について検討してみよう。ここでは、以下のポイントを確認する必要がある。

  • パートナー企業はどのようなタイプのデータにアクセスする必要があるのか?
  • そのデータはどの部署にあり、どのシステムに保存されているのか?
  • パートナー企業はどのような目的でどのシステムにアクセスする必要があるのか?
  • パートナー企業はどのくらいの頻度でアクセスする必要があるのか──ソフトウェアをアップデートするために年に4回アクセスするだけなのか。それとも顧客データを更新するために毎日アクセスする必要があるのか?

パートナーアクセスのシナリオ

 セキュアなパートナーアクセスのベストプラクティスについては、具体例を使って説明するのが最も分かりやすいだろう。以下にリスクの低い順から5つのシナリオを示す。

  1. マーケティング会社が人口統計データを分析するためにアクセスを必要としている場合
  2. 社内システム上で運用しているソフトウェアを更新するために、ソフトウェアベンダーが定期的にアップデートを配信する場合
  3. サプライヤーが製品を出荷するためにアクセスを必要とする場合
  4. 海外のアプリケーション開発センター
  5. 顧客データベースにフルアクセスする必要がある下請けコールセンター

1. マーケティング会社が人口統計データを分析するためにアクセスを必要としている場合

 人口統計データを分析するマーケティング会社は、リスクが低い場合の例だ。人口統計データは個々の顧客に結び付けることができないため、個人情報を盗むために利用することはできない。こういったデータは一般に、市場調査や販売モデル作成のために利用される。この場合のベストなアプローチは──特に、その会社のユーザー数が少ない(例えば数十人程度)場合──限定的なVPNアクセスを提供することである。AventailJuniper NetworksCisco Systemsなどが提供しているSSL VPNを利用すれば、ユーザーが一部のシステム/データにしかアクセスできないようにできる。また、SSL VPNによるアクセスは、ユーザーやアプリケーションのタイプに応じてきめ細かく設定できる。

 SSL VPNと、もう1つのタイプのVPNであるIPsec VPNの主な違いは、SSL VPNが個々のユーザーを特定のアプリケーションに接続するのに対し、IPsec VPNはワークステーションをネットワークに接続する点だ。SSL VPNはWebベースなので任意のブラウザから(つまり任意のデスクトップから)アクセスできる。IPsec VPNでも、ユーザーのアクセスを特定のアプリケーションやシステムに限定するような設定が可能だが、マーケティング会社のシナリオのユーザーには必要でないようなアクセスも無制限に提供する。

 SSL VPN方式に近い製品として人気があるのがCitrix Systemsの「NetScaler」である。この製品も、Webブラウザを通じて特定のアプリケーションへの制限付きアクセスをリモートユーザーに提供する。SSL VPNとCitrixの製品はいずれも、Active Directoryに対応しているため、適切な制限を付けてパートナーのユーザーを同ディレクトリに追加できる。

2. 社内システムのソフトウェア更新のためにベンダーが定期的にアップデートを配信する場合

 このシナリオには、幾つかの方法で対処できる。ベンダーに社内システムへのアクセスを許可するのではなく、ベンダーのWebサイトからアップデートを取得するのも1つの方法だ。また、メインフレーム用ソフトウェアのアップグレードであれば、バッチフィードを暗号化するセキュアなファイル転送製品(Sterling Commerceの「Connect:Direct」など)を利用する方法も考えられる。Sterlingの製品は、ほかのタイプのファイルをパートナーやベンダーに定期的に転送するのにも利用できる。

3. サプライヤーが製品を出荷するためにアクセスを必要とする場合

 このシナリオは、リスクが一段と高い。サプライヤーは自社の在庫システムにアクセスする必要があるかもしれないが、顧客データにアクセスする必要はないだろう。このため、個人情報の盗難のリスクは小さいかもしれない。だが物理的な盗難のリスクがある。最善の選択肢としては、SSL VPNなどを通じてセキュアに接続できるイントラネットの使用が挙げられる。この場合、ベンダー以外のサイトからのエクストラネットへのアクセスを防止するために、IPフィルタリングやファイアウォールルールなどを使用しなければならない。さもないと、ベンダーの中にいるかもしれない悪意を持った社員が自宅からサイトにアクセスし、不正なトランザクションを実行する恐れがある(それだけで済まないこともある)。

4. 海外のアプリケーション開発センターの場合

 4番目のシナリオは、オフショアデベロッパーがサプライヤーと同様、特定のシステム(この場合は開発環境とアプリケーションコード)のみにアクセスする必要があるという点で3番目のシナリオに似ている。しかしデベロッパーは、地球の反対側のインドや中国の企業であるかもしれない。これは、デベロッパーが彼らの広範なネットワークから接続することを意味する。自社ネットワークへの接続は、専用のファイアウォールによって分離されたネットワークセグメントを経由するようにすべきである。

5. 下請けコールセンターの場合

 最後のシナリオでは、通常のTCP/IPであれT1回線であれ、暗号化された専用のコネクションを使用しなければならない。これはリスクが高い状況であるため(パートナー企業の社員が自社のセンシティブな顧客データに直接アクセスするのだ)、多階層型アプローチを採用しなければならない。SSL VPNをIPフィルタリングおよびファイアウォールルールと組み合わせれば、パートナー企業からのアクセスを制限することができる。ワンタイムパスワード(OTP)トークンを利用した2要素認証を採用するという手もあるが、コールセンターの社員は入れ替わりが激しいことを考えれば、この選択肢は管理が大変だ。もちろん、どういった選択肢が適切かというのは、コールセンターの社員がアクセスする必要があるアプリケーションの種類──メインフレーム用のアプリケーションかWebベースのアプリケーションかなど──によっても異なる。どちらの場合でも、VPN(SSLあるいはIPsec)を組み合わせることができる。

 最後に、自社の社員によるアクセスと同様、パートナー企業からのアクセスもログを取って監査を行うとともに、アクセスの必要がなくなったユーザーがいないかどうかを定期的にチェックし、これらのユーザーのアカウントを削除する必要がある。この観点から見れば、セキュアなパートナーアクセスは、社員による通常のアクセスと変わるところはない。要するに、創意工夫を凝らしてVPN、専用コネクション、IPフィルタリング、暗号化などの手段を効果的に活用すればいいのである。

本稿筆者のジョエル・デュビン氏はCISSP(公認情報システムセキュリティ専門家)資格を持つ独立系コンピュータセキュリティコンサルタント。 Microsoft MVPに選ばれ、Web/アプリケーションセキュリティを専門とする。著書に「The Little Black Book of Computer Security」(29th Street Press)があり、シカゴのラジオ局WIITでコンピュータセキュリティの番組を担当。「IT Security Guy」ブログも運営している。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る