多層防御とは2/2 2014.2.14

「多層防御とは1/2」の続きになります。

前回は多層防御の考えについて勉強しました。多層防御には階層があり、それぞれの階層で起こる問題、対策が違いましたね。

階層のイメージが沸きにくかったかもしれないので、図にします★

tasoubougyo

・・・どうでしょうか?

今回は、多層防御によるセキュリティ対策をWindowsの機能で実現する場合、どんな機能があるのか階層ごとにまとめてみます。

1.データ層
ファイルやフォルダー対するアクセス許可。アクセス許可には「共有アクセス許可」と「NTFSアクセス許可」の2種類があり、2種類のアクセス許可を組み合わせて使うことができる。
☆共有アクセス許可(フォルダを共有させた時に設定可能なアクセス許可。)
☆NTFSアクセス許可(NTFSでフォーマットされたドライブに保存されたファイルやフォルダに対するアクセス許可。ローカルまたはネットワークからのアクセスにかかわりなくアクセス許可をチェックし、可否を判断する。)

→ファイルやフォルダに対して、適切なアクセス許可を割り当てることによって、重要なファイルが第三者の手にわたることを防ぐ。

2.アプリケーション層
パッチをインストールする。不要なアプリケーションは使わない、などの対策。
☆WSUS(WindowsServerUpdateServices)を利用した組織的なパッチ管理。

→脆弱性を悪用した攻撃によって、ウィルス感染や不正アクセスを防ぐ。

3.ホスト層
コンピュータの設定確認や、認証設定の強化、監査設定の実装。
☆グループポリシー
☆イベントログ

→アカウントやパスワード情報が盗まれることを防ぐ。一般ユーザが管理者と同等の操作をすることを防ぐ。

4.内部ネットワーク層
ネットワークの通信を暗号化。
☆IPsec
☆無線LANの暗号化
☆デジタル署名

→盗聴、なりすまし、改ざん、否認といった危険から守る。

5.境界層
ネットワークの境界部分へのファイアウォールを設置。プロキシサーバによる外部アクセスの仲介。
☆IPsec
☆無線LANの暗号化

→不正な通信を防ぐ。

6.物理セキュリティ層
ハードディスクの暗号化
☆データを暗号化するEFS
☆ドライブ全体を暗号化するBitLocker

→データの外部流出を防ぐ。

------------------------------------------

以上、階層別セキュリティ機能の紹介でした。各機能の具体的な設定方法はまた別でまとめることにします。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>