企業のシステム担当者に質問です

SonicWALLは ファイアーウォールです。ソフトウエアとしてサーバーなどに入れるのではなく、ハードウェアーとして販売しています。 ですので、メンテナンス的にも非常に楽です。（ファームウェアのアップデートだけ）保守契約を結んでおくと、万一故障したときも、代替品を貸してくれるなど、安心です。

#3補足より >すべてのクライアントを一括管理でき、常に全パソコンが最新の状態に保てるのでやはりこちらを優先したいです。 > VBCEを入れられているということで、トレンドマイクロ製品から話を... うちでもVBCEを導入してます。 で、ゲートウェイ製品としてInterscanViruswallをFirewall-1のCVPとして動かしていましたが、 動作が遅い、見られないページがある、CVPだと問題がある度にFirewall-1側の設定変更がかかる などで、結局FTPとメールトラフィックのみのチェックで、 安全と思われるサイトのhttpトラフィックはスルーさせています。(自動プロキシ等で) httpトラフィックだけなら、InterScan WebProtect for ICAP　を入れるべきなのでしょうね。 http://www.trendmicro.com/jp/products/gateway/iswp-icap/evaluate/overview.htm ただ、SPARCマシンが必要になるので、お高くつきますし管理も大変になるでしょう。 これなら、NAIやSymantecのアプライアンス製品も検討されたほうがいいかもしれませんね。 http://www.nai.com/Japan/products/mcafee/ws.asp?menu=home http://www.symantec.com/region/jp/products/sgs/index.html 50ライセンス程度であれば、NAIのe500で300万円程度、Symantecの5310で150万円程度ですね。 ですが、今回のDCOMの脆弱性からみて、個々のPCでのパーソナルファイアウォールの必要性を 感じた人も多かったのではないでしょうか？ ＃それ以前にWindowsアップデートにおいてSUSの導入の必要性かな？ ということで、もし他社製品への乗り換えができるのであれば、 パーソナルファイアウォールまで管理できるSymantec Client Securityなんかはどうですか？ http://www.symantec.com/region/jp/products/scs/index.html 今ならキャンペーンで50ライセンスなら@7,900円×50=395,000円ですね。 それでもユーザよりの製品で、管理者として導入するかは悩みどころですが...。 ＃少なくともブロードバンドルータ付属のファイアウォールだけとなると心配ですね。 ＃自分なら、まずはNetscreenなりFireboxなりSonicwallなり ＃安価でもいいので、専用ファイアウォールを選択してしまいますね。 まだまだ安くて高性能の他社製品等もあるでしょうから、 これから調べられる足がかり程度でお願いします^ ^;;

>正直中小企業レベルでそこまでやる必要があるのかなとも不安に思います。 > そこら辺の判断は、リスク分析になるかと思います。 ファイアウォール製品、コンテンツフィルタ、IDS等いろいろ検討する製品はあるとは思いますが、 とりあえずtakuya93さんのご質問の中で >WEB等からのウイルスによる侵入は検知できません。 > >ファイアウォールとしてアプリケーション型のファイアウォールを構築したい > とウイルス対策、リーク対策が主のように思えますので、 まずは各PCにパーソナルファイアウォール機能を保持したウイルス検知ツール導入でいいのでは？ Norton Internet Security2003とか。 ＃ただ、本格的なリーク対策は難しいでしょうね。

>中小企業レベルでそこまでやる必要があるのかなとも不安に思います。 会社の大小ではなく、情報の重要性だと思います。 　私は、零細ですが、一応の対応はしています。 ルータとアプリケーション型のファイアウォールの併用もそれぞれの特徴を生かす必要があると思います。 私の場合は、（主な用途は）前者はインバウンド（とDos攻撃）に対して、 後者はアウトバウンド（と検知）に対してです。 　無線LANも（火壁を追加して）必要時だけ使っています。 　顧客情報は、ネットに非接続のPCに入っているので、 ある意味ネットセキュリティは、完璧ですね(笑) 　小さいから企業だからこそ、顧客の信用を失うと立ち直れませんから・・・・・ 大企業ほどお金をかけられませんが、ネットセキュリティのインフラ以外にもセキュリティの落とし穴が多いので、その辺りも強化なさる必要があります。 IDとPASSWORDを手帳に書いて持ち歩いている社員さんがいませんか？ 携帯するPCの空き領域（のクラスタに残っているが復旧できる消したはず）の部外秘のデータを完全に（上書き）消去していますか？ 　繋がっている限り１００％はないですが、ソレを１００％に近づける事に要する費用と効果（費用対効果）によって考える必要があります。 情報漏洩で会社が被る被害に対する保険料と考えると、 かけるコストも想像しやすいと思います。 　私の場合は Internet 　　｜　 　ルータ　－　（家庭用）ＬＡＮ 　　｜ 　ＬＡＮ（仕事用） 　　｜ FW（アプリ） 　　｜ 　　PＣ　－　無線ルータ　－　無線LAN Win2000で再ルーティング 　　｜ 　他のＰＣ 各PCにノートン等のセキュリティソフト という構成です。 仕事用のLANでは、以前はTCP/IPを使わなかったのですが 今は仕方なく・・・・ どんなに火壁を多く使っても、冗長なだけで使い方次第ですが、 設定ミス・スキル不足等の人為的を避ける意味で複数準備しています。 その道のプロではないので、ご参考になるのか不安です。

システム担当の者です。 ポイントをあげます。 １．メーラーはOE以外のものを使う。 ２．サーバー、クライアントにウイルス検知ソフトをいれる。 ３.ファイアーウォールで余計なポートは開かないように設定する。 この３点だけでかなりセキュリティに関する業務負担は減ります。 パッチ当てについては、正直言って毎日あれだけの量のパッチをこまめに当ててはないです。 だからサービスパックなどが出たりしたタイミングで全社一斉にあてます。 今回のウイルスも、FWで攻撃対象のポートをとじていたので、無害ですみました。 ご参考までに。