- ベストアンサー
ネットワーク管理者の方、ご意見お聞かせください。
話が長くなりますのでなるべく。かいつまんで説明します。 私の所属する企画部は別棟からダイアルアップ回線で本社につなぎウェブサーバを管理しておりましたが、本社に移転することとなったため、社内のイントラネット回線を使用してスピーディでハイレベルな管理、運用が出来ると喜んでおりました。しかし、情報システム部からはウェブサーバのようにインターネットに常時接続のマシンを社内LANに接続することはセキュリティーポリシーとしてNGと拒否されてしまいました。情報システム部は業務システムとネットワーク全般を管理しており、ネットワークの総務省的存在のため、そういわれればそれに従うまでなのですが、とてもまともな考えとは思えず、再度申請の手続きをしようと考えております。皆様はこのようなネットワーク管理をどう思いますか?ご意見をお聞かせください。
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
VLANについて、参考URLを紹介します http://www.atmarkit.co.jp/fwin2k/network/tcpip009/tcpip02.html 簡単に説明すると、まず、安価ではない「VLAN機能付き」のスイッチングハブ(以下VLAN-HUB)が必要です。通常、1つの物理的配線(LANケーブルや光ファイバー等)につき、構築できるネットワークは1つですが、これを利用すると1つの物理的配線で、複数のネットワークを構築することができます。 例えば、下図のようにVLAN-HUB,A,Bをweb-sv室と企画部室に設置し、 Web-SV室~VLAN-HUB(A)~---(LANケーブル)---~VLAN-HUB(B)~企画部室 HUB-A,Bそれぞれの1番ポートを業務用NW用ポート。2番ポートをWeb系NW用ポートと設定します。 そうすると、HUB-Aの1番ポートとHUB-Bの2番ポートにつないだノード同士は通信はできません。 つまり、物理的なLANケーブルは1つでも、論理的には2つのLANケーブルがあるようなイメージになります。
その他の回答 (5)
- aki12
- ベストアンサー率49% (71/144)
お仕事お疲れさまです。技術的なセキュリティ対策基準があいまいな現在、難しいテーマだと思います。でも、だからこそ、No2さんのおっしゃるとおり「いかに安全で効率的なNWを提案するか」が重要なのではないでしょうか。つまり ・現在のNWをどのように変更するか。 ・それによりどのようなリスクが発生するか。 ・それに対する対処はどう考えているか。 を提案することが大事だと思います。 具体的には、以下の順序で考えてみてはどうでしょうか。 1.WebサーバがDMZ構造であるならLAN側NWがあるはず。LAN側NWを企画部には、引けないのですか? 2.VLANは、業務システムNWと、WebサーバNW(もしくはそのLAN側NW)を論理的に分割できます。VLANを導入しても駄目なのですか? 3.No2さんのVPN等の技術でもセキュリティは確保できると思いますがそれでも駄目なのですか? がんばってください。
お礼
重点ポイントを分かりやすくまとめていただきありがとうございます。 1.LAN側NWを企画部のNWに接続したいのですが、それがNGということです。 2.VLANという言葉は始めて耳にしましたが、どういうことなのでしょうか? 3.VPNはメンテナンスのことだけを念頭に考えればそれでも良いのかもしれません。しかし、業務システムとして包括的に捕らえて考えないと長続きしないのではないかと考えます。(抽象的な表現しか出来ず、すみません。)
- net_lander
- ベストアンサー率49% (40/81)
ご回答ありがとうございます。 kuma-kuさんのおっしゃられていることが一般的なシステム管理者としてのポリシーとして至極常識的です。 >1.現状はWebサーバは情報システム部の管轄とみなされておらず、社内LANに繋がっていない状態です。ですので、本社に移転後もダイアルアップで管理しなくてはなりません。 >2.WebサーバはDMZにあります。 >3.OSは同じですが、バージョンまでは定かではありません。 WebサーバがDMZにあるということですから、完全孤立状態ではないということですね!? それなら、入り込める余地が残っていると思いますが、そのことを情報システム部に伝えることは藪蛇なりそうですね。
お礼
ご回答ありがとうございます。 >一般的なシステム管理者としてのポリシーとして至極常識的です。 公開用のWebサーバと社内LANは繋がないのが常識ということでしょうか?私はやはりWebサーバも、業務システムとして体系的に管理するべきだと考えます。
- kuma-ku
- ベストアンサー率54% (1558/2845)
>企画部の行っている業務が会社にとって余計な業務であれば私もそう思います。しかし、業務が存在する限り、管理者はネットワークの資源を平等に提供する義務があるのではないかと考えます。 お気持ちは十分理解しております。 NW資源を平等に提供するのも当然であり、情報システム部の責務と言えます。 つまりは、この部署だからココまではOK/NGなどの揺らぎを提供する事は、結局のところ不平等になってしまい、社内システムの運用ルールがただの形式化した物になってしまいます。 また、システム構築時には、情報システム部側が各部署の業務ヒアリングを行った中で、必要な外部アクセスのシステムを提供を考える場合もありますが、システムが一部の部署に限定され、全社的なシステム(メールなど)で無い場合には、システム構築の段階から排除されるケースが多数です。 その為、例外を与えるためには、情報システム部や他部署を納得させる導入の理由と、そのシステム要件が必要になると考えます。
お礼
>例外を与えるためには、情報システム部や他部署を納得させる導入の理由と、そのシステム要件が必要になると考えます。 参考になる意見をありがとうございます。よく理解しました。
- kuma-ku
- ベストアンサー率54% (1558/2845)
こんばんは 残念ながら、情報システム部の判断は、至って健全なNW管理だと思われます。 NW管理の面で言うと、余計な外部接続口を持たせないというのは、情報管理の上で至極当然の事です。 その上で、hiksonさんが必要なことは、如何に安全に外部からの接続を管理する為のNWを構築してもらうかを、提案することです。 --------------- NW等の情報が不明なので、一先ず以下の3つの方法を挙げておきます。 [1]RAS [2]VPN [3]SSH どの方法も、大手企業でも採用されていますので、セキュリティに関しては保障できます。 それぞれについては、一度調べてみてください。 その上で不明な点がありましたら、何でも聞いてください。 サーバ管理だけですよね? コストや手間を考えると、RASかVPNになるかと思います。 大きなデータのアップロードが必要な場合は、RASは除外してください。 取り急ぎ
お礼
ご回答ありがとうございます。 >余計な外部接続口を持たせないというのは、情報管理の上で至極当然の事です。 企画部の行っている業務が会社にとって余計な業務であれば私もそう思います。しかし、業務が存在する限り、管理者はネットワークの資源を平等に提供する義務があるのではないかと考えます。 >それぞれについては、一度調べてみてください。 情報のご提供ありがとうございます。
- net_lander
- ベストアンサー率49% (40/81)
あなたの言いたいことは、分かります。 取り敢えず、次の3点について答えられる範囲でご回答ください。 1.元々別棟からWebサーバの管理の為にアクセスしていたマシンは、本社移転後に社内LANにアクセス可能なのか? 2.社内に於いて、WebサーバはDMZにあるか否か? (廉価なルータに付属のDMZ機能ではない) 3.WebサーバのOSと社内LANに属するマシンのOSは同じか?
補足
補足にお答えします。 1.現状はWebサーバは情報システム部の管轄とみなされておらず、社内LANに繋がっていない状態です。ですので、本社に移転後もダイアルアップで管理しなくてはなりません。 2.WebサーバはDMZにあります。 3.OSは同じですが、バージョンまでは定かではありません。
お礼
もしかすると、使える手かもしれませんので勉強します。 いろいろ、参考になるご意見をありがとうございました。