- 締切済み
昨今の受発注取引システムにて
ある取引先のWeb受発注システムを使っております。 使用契約において、グローバルIPアドレスを教えるというものでした。管理は、その取引先で行うというものですが、情シス部らしい部門はあるようですが、開発はベンダだそうです。 別の取引先からは、特定のパソコンを決めて、VPNツールで接続してからのWeb受発注システムを使用しなかと打診がきております。この取引先は、グローバルIPアドレスではなく、弊社で決めた1台のPCのIPだけを教えるという契約です。大きな会社ですので、情シス部はあるようですが、開発はやはりベンダのようです。 色々な手法があるようですが、改めてグローバルIpアドレスを教えるという形での使用に、不安が出てきました。 前者の手法は、ごく普通にありふれた手法なのでしょうか?。後者はどうなのでしょうか?。 よろしくお願い致します。
- tachin
- お礼率60% (483/799)
- その他([技術者向] コンピューター)
- 回答数5
- ありがとう数4
- みんなの回答 (5)
- 専門家の回答
みんなの回答
- superside0
- ベストアンサー率64% (461/711)
> まとめると、後者の方式の方が、リスク率が高いということでしょうか?。 > 私は、前者の方がリスクが高いと考えてました。 第三者のアカウントの乗っ取りに関しては VPNを使えば心配なくなるというものではありません。 (グローバルIPアドレスでアクセス制限をしていないVPNだと、反対に VPNのアカウントを知られてしまえば、どこからでもVPN接続できてしまうことになりますし) また、アカウントの乗っ取りに関してのみを心配されているようですが、 VPNというのは、相互に信頼があって成り立つもので、こちらのPCが丸裸の状態で接続してしまうと、 サービス側に悪意があったり、ウィルス感染があれば、こちらは簡単にやられてしまいます。 その辺のリスクをサービス側がどう設計しているかや、 自社のPCごとのフィルタリング設定や共有設定やアンチウィルスや 先方との契約書で機密保持がどうなっているかなど、 安全性をどうやって確保されているのかの確認は必須ですね。 そういう意味で考えると、後者のVPNほうがリスク管理は厄介です。 #ファイヤーウォールをl越えて通信する方法を考えなくてよいとか #リモートデスクトップでリモート操作してもらったり、レクチャーしてもらえたりとか、 #トラブルの対応が迅速にできるなど、 便利な面も沢山ありますが。
- superside0
- ベストアンサー率64% (461/711)
グローバルIPアドレスが 相手に分かってしまうだけのことなら セキュリティーリスクにはならないでしょう。 わざわざ教えてもらわなくても、メールのヘッダーやWebサーバーのログには グローバルIPアドレスが記録されてしまっていますので。 ただ、前者の場合は、単にグローバルIPアドレスで、アクセスを制限 (社員の自宅や出先からは接続させない。またIDが漏洩しても、他所からは接続させない) というだけのことですが、 後者の場合は、VPN接続した上でということなので 接続先にとっては 使用端末を限定できるというメリットはあるでしょうけど、 こちらにとっては、相手先のネットワークの一部として組み込まれて、 双方向に通信できてしまうことになるので、その分セキュリティ-リスクが発生します。 つまり、VPN接続先でウィルス感染していると、こちらへ被害が拡大することもあり得ますし、 共有フォルダーに不正アクセスされて情報が抜かれるということも可能になります。 (VPNは、自社のファイアーウォールを筒抜けにするトンネル接続ですから) なので、VPNの配下になるPCは、それの専用機にして他のデータは入れないほうが よいでしょう。 もしくは、そのあたりの安全性をどうやって確保されているのかを 確認されてからのほうが よいかと思います。 (VPNにも端末型やネットワーク型やSSL-VPN等いろいろありますし)
- kteds
- ベストアンサー率42% (1882/4440)
前者は「あなたのネットワークからアクセスしているので、アクセスを許可する」という確認方法です。 後者は「あなたのネットワークの特定のIPアドレスからアクセスしているので、アクセスを許可する」という確認方法です。 どちらもインターネットでは一般的なアクセス許可(アクセス制限)方法です。 >改めてグローバルIpアドレスを教えるという形での使用に、不安が出てきました。 どちらにしても取引先側の問題ではなく「あなたのネットワーク管理はだいじょうぶなの?」という不安になります。
お礼
ありがとうございます。 ということは、弊社側に課題があるということでしょうか?。 どのような課題(チェックする事柄)が挙げられますでしょうか?。
- notnot
- ベストアンサー率47% (4900/10358)
IPアドレスによる制限は、十分有りだと思います。 認証に加えてIPアドレスで制限するとそれだけ、安心材料が増えます。 クライアント証明書による認証など。 「IPアドレス制限だけ」ということは多分無いと思うのですが。
お礼
ありがとうございます。 電子証明書の類のものはありません。 ですので、グローバルIPのみで、うちからログインしてきたかの確認をしている程度のものと感じ、不安となっております。
色々なやり方がありますので、どれが絶対に良くてどれは悪いというものはありません。 ただ、そのシステムをあなたの側の会社が使いたいのか使いたくないのか?それによるデメリット、メリットを考えて使うものだと思いますけどね。 グローバルIPを使えれば、他のパソコンでなりすまして入りにくいというメリットがあります。 一番良いのは、あなたの会社と、相手の会社でデジタル専用線を契約してそこから繋ぐということですが、毎月の経費が高くなります。 近くても毎月10万円程度などかかることになるのですが、その辺をどう考えるかというところだと思います。 インターネットからの単なる接続だと、IDとパスワードだけでは、セキュリティ上、あまり良くないですからね。 まぁ、そもそもグローバルIPをクラスCなどでとっている会社なども、ある程度の規模がある会社となりますからね。
お礼
ありがとうございます。 普通は、専用線をつないでというものと私は考えておりましたが、今のはつないでおりません。ログイン時のIDとパスはありますが、取りあえず程度の様相にしか思えません。よって、単にネット上にあるホームページにアクセスして、取りあえず渡されたIDとパスを入力し、先方側で、うちのグローバルIPで入ってきたのかをチェックしているだけの用意感じており、大変不安というわけです。
お礼
ありがとうございます。 まとめると、後者の方式の方が、リスク率が高いということでしょうか?。 私は、前者の方がリスクが高いと考えてました。