コンピューターの管理者から「アドレスを公開しなければパスワードをかける必要はない」といわれましたがそうでしょうか?
ちなみに設定されたアドレスはhttps://www.xxxxとなっていてSSLはついています。
しかしグーグルのデスクトップ・サーチの設定項目には”https://も検索する”というものがあり、不安になっています。
(WWWというのも変な気がするのですが...)
http://www.hatena.ne.jp/1109106306#
人力検索はてな - 社内向けイントラネットのサイトを作成しています。 コンピューターの管理者から「アドレスを公開しなければパスワードをかける必要はない」といわれましたがそうでしょう..
「アドレスを公開しなければ」というのは違うと思いますが・・・
そもそも、アドレスはさておき、社内ネットワークからのみ参照できるようにネットワークで制御されてる(F/W等で)のであれば、当然問題ないですね。
あと、SSLも、サーバ側認証や単なる通信経路の暗号化のためではなく、クライアントに証明書配ってクライアント認証目的で使っているのでしたら、(それこそパスワードみたいなものなので)証明書を持たないクライアントからアクセスされることはないです。
イントラネット内の情報が漏れたとして、パスワードをかけていなかったのならば、管理者が責任を問われることになります。
サイボウズなどの代表的なグループウェアは全部パスワード付きですよね? やはりパスワードはつけるべきだと思います。
私もそのように思うのですが、管理者へ反論する論拠があればありがたいのですが。
Yahoo! JAPAN
パスワードは絶対必要だと思います。
外部からアクセス可能である以上、
部外者がイントラにアクセスされる危険性は
かなり高いと思います。
また、社内の人が、外部のPCからイントラにアクセスし、
アドレスがキャッシュに残ってしまうとかすると、第3者がサーチエンジンからではなく、
たまたま、イントラのアドレスにアクセスしてしまうことも
十分考えられると思います。
仰せのとおりだとおもうのです。
http://www.atmarkit.co.jp/fnetwork/rensai/dns01/dns01.html
DNSの仕組みの基本を理解しよう
FWがないということはイントラネットじゃないと思いますよ。単に外に置いたサーバを社内の人が使うというだけでは…。
まず、社外からwww.xxxxでアクセス可能ということはドメイン名前を取得しており、さらにDNSに登録していることになりますね。つまりこの時点で少なくともDNSサーバには名前が公開されています(もしそうでなければGlobalなIPが衝突してしまう恐れがあり社会の迷惑になります)。それに、社員の誰かがアクセスしてるところを第三者に見られないという保証もないですしね。
たとえ名前がわからなくても、所詮IPアドレスというのは限りがあるので、総当りで反応があればサーバの存在がわかってしまいます。
その後はじっくり開いているポートを調べていって、いろいろ攻撃が可能です。
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040720/147480/
Webサーバー「Apache」のSSLモジュールにセキュリティ・ホール - ニュース:ITpro
ちなみにSSLにもたまにこのようにホールが見つかるので、安心できません(もっともこの場合はパスワードがあってもダメですけど(笑))。
あ・ありがとうございます(^^;
http://www.hatena.ne.jp/1109106306
人力検索はてな - 社内向けイントラネットのサイトを作成しています。 コンピューターの管理者から「アドレスを公開しなければパスワードをかける必要はない」といわれましたがそうでしょう..
うーん。そうですか。
そもそも、社内ネットワークからアクセスできなくて良い(業務上の自宅や出先からのアクセスの必要性がセキュリティリスクよりも低い)のでしたら、Internet経由でアクセスさせるべきではないですし、必要がある場合でもやっぱりInternet経由ではなく、ダイヤルアップのRAS経由にするべきじゃないでしょうか。
どうしてもInternet経由からのアクセスが必要な場合でも、できるならパスワードで済ませてしまうのではなく、SSLやIPSECでVPN化した方がいいですね。
予算諸々の都合から外部公開用のWebサーバにイントラネット用のWebアプリも載せちゃった、みたいな形なのでしょうか。
もちろん、「イントラネット」で扱っている情報の質にもよるのですが、セキュリティは、ただ強くすればいいものでもないですから、予算、手間、リスク、利便性などのバランスを取る必要があります。
今回のご質問の場合、そのイントラネット、パスワードをかけてないことが問題なのではなく、ちゃんとした設計がされていないのが問題なのではないでしょうか。パスワード云々というのは、その一端でしかないような気がします。
何れにせよ、「アドレスを公開しなければパスワードをかける必要はない」と言っているということは、不特定の第三者にアドレスが知られるとマズイような内容を扱っているわけですよね?
で、あれば、管理者さんの主張はまったく意味をなしていないと思います。
そもそも、Internetから参照できるパブリックなIP持っているのならば、IPにしろURLにしろ不特定の第三者からみつけられて当然ですから。
埒があかないのでしたら、直接管理者さんに掛け合うのではなく、上の人に世間話ついでに連日のようにニュースになる他社のセキュリティ事故の話をして、「そういえばうちのは大丈夫ですかね・・・」みたいに持っていったら如何でしょう。
対象は純粋な社内だけではなく、関連会社である営業支店の営業マンも対象にした販売促進内容を含んでいるので、確かにパスワードをかけない方が営業効果はあがるのですが。
しかしながら、ドメインをこのイントラネットのために新たに取得してきたとき、wwwがついているのを知って、オドロキました。
管理者は頭が整理されていないように思います(^^;
自宅からでもアクセスできるということですから、問題ですね。
そのイントラネットにどのような情報があるか分かりませんが、たとえば外部のサイトへのリンクなどがあるならば、その外部のサイトにreferer(参照元URL)として、アクセスログに残ります。
アクセスログに、IntranetのURLが残るわけです。たまにアクセス解析などを見ていて、クリックしても「サーバが見つかりません」というエラーになる場合がありますが、それはちゃんとアクセス制御している事例と言えます。逆に言えば、アクセス制御していなければ、アクセスログのrefererからURLが漏れることがありえます。
たしかにそうですね!
そのとおりです(・・!
http://www.ipa.go.jp/security/ciadr/law199908.html
不正アクセス行為の禁止等に関する法律
パスワード等によるセキュリティがかかっていない場合単なる公開WEBと同じなので 不正アクセスをとうことすら難しいとおもいます。そうなると当然セキュリティを考慮しない情報システム部門(管理者)の責任が当然社内で問われてしまうとおもうのですが?
アドレスの非公開はセキュリティをかけたことにはなりません。
実は、元はといえば、システム管理者(IBMのAS400が本業)の仕事に不満を覚えて、私がイントラネットを立ち上げようとしたことに端を発しているのです。
設定は彼なのに、イントラネットの管理者は私ということにされています。姑のいぢめを感じています...(考えすぎかもしれませんが)
イントラネットとはいえ、そのサイトを利用できるパソコンの設置場所に、他社の社員(運送会社等)がある程度自由に出入りすることはありませんか?
パスワードをつけなければ、利便性の向上に繋がるといった観点もありますが、YAHOOなどの情報漏洩事例を見てもわかるように、情報漏洩の主たる要因は社内からとなっております。ログ、パスワードを表面上付けておき、管理、記録しているからと社内に牽制する意味でもつけるべきでしょう。
少し余談になりますが、・・・
私自信が、コンピュータ管理者の立場なのですが、社内イントラネットに関しては、パスワードの他、放置時の時間制限による自動ログオフなどセキュリティ対策として打ち出し実践しております。過度の対策は業務に支障をきたすとも取れますが、ルール、規約、罰則といった社内整備が充実し、社外にその情報が目に触れる環境がないという状態がたもてないなら、社員牽制が必要不可欠です。
個人情報保護法施行に先駆け、情報管理規定、セキュリティポリシーなどをコンピュータ管理者、総務部門などで策定されている場合、その内容に準拠していることが必要ではないでしょうか。
個人情報保護法は梃子になりますね。
社員の写真なども掲載していますので。
ありがとうございます。
Operaを使ってると、GoogleのBotが(広告表示用ですが)飛んできますし、さらに、誰かがもし不用意にリンクとかをしたなら、Googleとかが拾うでしょうから、パスワードをかけるなりの対策は当然だと思いますが…
なるほど!
勉強になります。ありがとうございます。
http://www.atmarkit.co.jp/fsecurity/rensai/webhole01/webhole01.h...
@IT:Webアプリケーションに潜むセキュリティホール(1)
危険な状態だと思います。管理者の方にリスクが潜んでいることを気づいてもらえればよいのだと思います。このサイトはWebアプリケーションを取り上げて説明していますが参考になるかと思います。
http://www.atmarkit.co.jp/fsecurity/special/17fivemin/fivemin00....
5分で絶対に分かるファイアウォール
あと、初心者向けっぽい作りではありますが、セキュリティ上役立つ情報が満載のこのサイトも紹介致します。
とても参考になります。
>サイトはアクセス制御されておらず、自宅からでも見ることができるのです
確認ですが、これは本当ですか??
今回ターゲットとなるWEBサーバは、社内にあるんですか?社外ホスティングとかですか?
サーバが社内にあり、かつ外部から誰でもアクセスできる、というのはちょっと考えにくいです。
サーバが社内にあるのであれば、外部からのアクセスはきっと制御されているのではないですか?
そうであれば、アドレスさえ教えなければ、という上司のご判断も、あながち不当なものとは思いません。
ホスティングなどで、サーバ自体が外部にあるのであれば、検索ロボットのサーチの対象になり、誰でも見れる状態になるでしょう。
ちなみに「デスクトップ・サーチ」とは、自PCのハードディスク内を検索する機能であって、イントラネットとは直接は無関係です。
サーバーは社内にあります。
外部からはさっさと誰でも入れるのですが、社内からはブラウザーにIP設定を加えないと入れないという不思議な設定です!
デスクトップサーチの件、ありがとうございました。私の勘違いでしたね。
サイトはアクセス制御されておらず、自宅からでも見ることができるのです。
また、クライアントには証明書を配っていません。誰でも証明書をインストールできる状態です!