【学問のすすめ】中世ヨーロッパ写字生のように黙って静かに手を動かすブログ

これまで習ったことや学んだことを記事にまとめています。ITネタが多いです。

【もしも】プロキシサーバーとDMZを設置していなかったら?

【登場人物】
写字生1号:悩めるブログ管理者
司書1号:写字生1号の同門、いろいろ詳しい

 

ある日の会話

【写字生1号】
情報システム部の人に聞きました。
当社では社内ネットワークにはプロキシサーバーおよびDMZを設置していないとのことです。
これはリスクマネジメント上どうなのでしょうか?

 

 

【司書1号】
それは絶対にやってはいけないことその1です。

 

【写字生1号】
なんてこった・・・・
あの人、平然と「ないですよ」って言っていました。

 

【司書1号】
素人以下の愚行です。

 

【写字生1号】
社内セキュリティ革命連合を結成しましょう!!
団結してプロキシサーバーとDMZの設置を要求するんです!!
・・・しかし、そうするといろんなサイトに自由にアクセスできなくなりますね?

 

【司書1号】
それはアクセスの設定によります。
業務に必要のないサイトへのアクセスを制限すればそうなります。

セキュリティソフトメーカー提供のブラックリストを適用すれば、危険なサイト以外は不適切なものであってもアクセスできます。

 

説明

プロキシサーバ

接続を代行するサーバ、「代理接続サーバ」などとも呼ばれる。
サーバー内に接続先サイトのキャッシュを保持しページ情報の取得にかかる時間を短縮する機能と、代理接続により外部から内部ネットワークの構成を把握できなくする機能がある。
また、製品によってはアクセス先を制限したり、ウィルススキャンを行うなど各種の機能が搭載されている場合もある。

DMZ

外部からの接続を許可する専用のネットワークのこと、DMZはDe Minitalized Zone(非武装地帯)の意味。
インターネット上から接続できる場所を専用に用意することで、内部ネットワークの安全性を高めることができる。DMZ内には公開DNSサーバや公開Webサーバなどが設置される。
DMZを設置せずに、インターネット上から直接内部ネットワークにアクセスさせるような設定は絶対にしてはいけない。

 

一般的なネットワーク構成

FW(ファイアウォール)により、インターネット/DMZ/内部ネットワークを分割している。ネットワーク構成はプロキシサーバにより外部からは確認できない。
インターネット上からDMZへのアクセスは問題なく行えるが、内部ネットワークへの侵入は困難。

f:id:pesia_one:20160401012410p:plain

 

決して真似してはいけないネットワーク構成

外部から直接アクセスし、内部のネットワーク構成を簡単に把握することができる。
ネットワークは分割されておらず、ろくにアクセス制限もできない。
そのため、インターネット上から侵入したりPCにマルウェアを感染させるなどが簡単に行える。
いわゆる、カモがネギをしょって鍋に入ってご丁寧に醤油とだし汁までおいてある状態。

f:id:pesia_one:20160401012423p:plain