JAPAN SYSTEMS Driving for NEXT NEW with Comfort and Convenience

マイナンバーの導入に向けた 公共団体庁内情報システムやネットワークのセキュリティ対策について③

ネットワークアクセス制御対策

ネットワークアクセス制御を実装するにあたって、その制御の粒度で次の2つの仕組みを組み合わせることがコスト効果の高い仕組みづくりにつながるも のと思われる。

a) ゾーンセキュリティ
b) ダイナミックアクセス制御

ダイナミックアクセス制御

前回(マイナンバーの導入に向けた 公共団体庁内情報システムやネットワークのセキュリティ対策について②)のゾーンセキュリティに加え、高度に秘匿性の高い情報資産を保持するサーバへのアクセスには、システム利用者認証認可に加えてネットワークレベルのアクセス制御を追加実施するという、多重防御(defense in depth)の考え方が有効である。
ダイナミックアクセス制御とは、情報資産にアクセスするクライアント端末(PC)と情報資産サーバとの通信経路間のネットワーク機器(ファイアウォール等)においてアクセス元の主体(ユーザ)の認証をもとに動的にアクセス先(サーバ)へのアクセスを認可する仕組みのことである。
実装例として、アクセス元がユーザ端末(PC)配置サブネット、アクセス先が基幹業務システムサーバの場合のダイナミックアクセス制御点とポリシーの例を示す。

column_150825_1.PNG

ダイナミックアクセス制御のSDNアプローチ

ダイナミックアクセス制御をより具体的に実装する際、認証サーバと認可ポイント(ファイアウォール)を論理的に分割し制御する方式が考えられる。この場合の前提は、データプレーンに位置づけられる認可ポイント(ファイアウォール)にはポリシー制御可能なAPIを提供していることである。この方式を採用すると認可ポイント(ファイアウォール)のベンダー依存性がなくなり、コントロールプレーンに配備されるARCACLAVISが多様なルータのアクセスリストや、Firewall等のポリシーを制御できるようになる予定である。
マイナンバー用中間サーバーを庁内環境(オンプレミス)に配備した場合のダイナミックアクセス制御による構成例を下図に示す。

column_150825_2.PNG

column_150825_3.PNG

column_150825_4.PNG

column_150825_5.PNG

また、中間サーバを総合行政ネットワーク(LGWAN)上のクラウドに配備した場合のダイナミックアクセス制御構成例を下図に示す。

column_150825_6.PNG

column_150825_7.PNG

column_150825_8.PNG

クラウド側にデータプレーン機能を配備することが困難な場合、アクセス元のクライアント端末(PC)の出口にデータプレーン機能を配備することもできる(下図)。

column_150825_9.PNGcolumn_150825_10.PNG

コントロールプレーンとデータプレーンの一体化

次に、米国Extreme Network社のSシリーズスイッチを使った事例を示す。Sシリーズは高機能スイッチであり、802.1x認証やWeb認証によるアクセス制御が可能である(下図参照)。
NetSightポリシーマネージャにより事前にいくつかのアクセス制御ポリシーを配布しておけば、Web認証に基づきダイナミックにアクセス制御ポリシーを変更できる。Sシリーズスイッチはコントロールプレーン機能をスイッチ自体に実装しているといえる。

column_150825_11.PNG

column_150825_12.PNG

column_150825_13.PNG

以上、業務ユーザからの情報資源アクセスという観点でのアクセス制御を検討してきたが、意外とセキュリティ上の盲点になりえるのが、システム運用管理(OAM)ユーザからのアクセスという視点である。

次回はネットワークアクセス制御の「OAMユーザのアクセス制御」についてのコラムです

公共向けマイナンバーコラム一覧

Adobe® Reader®

PDFファイルの閲覧には、Adobe® Reader®が必要です。

Adobe® Reader®のダウンロード

お問い合わせ