No189 社内のネットワーク機器を把握する方法

前回は、組織のネットワークを支える裏方の機器が犯罪者達に狙
われている状況についてお話をしました。

今回はその対策編として、ネットワーク機器を安全に使うための
方策について解説します。

1. ネットワーク機器の管理は非常に面倒臭い

最初に書いておきますが、ネットワーク機器の管理というのは非常
に面倒臭い作業になります。

必要な作業は次のとおりです。

　1 組織内にあるネットワーク機器を把握します。
　2 各機器のバージョン確認を行います。
　3 各機器のファームウェア（プログラム）をバージョンアップ
　　します。

これを見るだけですと「何が大変なんだろう？」と思われるかも
しれませんので、本題に入っていきましょう。

2. ネットワーク機器はどこにある？

皆さんの組織ではネットワーク機器の設置場所を把握されてます
でしょうか？

「そんなの当然でしょう」とおっしゃるアナタ、すごいです。
すごいことなんですよ、それ。

何がすごいのか？

電卓やパソコンといった道具は使っている限り、目の前にあり
ます。行方不明なんてありえません。

ですがネットワーク機器は違います。
目の前になくても使えるし、キチンと動作してくれている限り
どこにあっても別に良いのです。
だから、ネットワーク機器は動いていても簡単に行方不明になり
ます。

ネットワーク機器というのはネットワークを利用するための機器
全般を指します。例えば次のようなものがあります。
・ルータ
　→社外のネットワークと接続するための機器
・ファイアウォール
　→社内ネットワークと社外ネットワークを分断するための機器
・スイッチングハブ（スイッチとかハブとも呼びます）
　→複数の機器接続で使う（タコ足配線する）機器。

こういった機器は一度設置すると、壊れない限り置きっぱなしに
なるのが普通です。

これが高価な機器であれば固定資産になりますから、毎年の棚卸し
で設置場所を確認するからまだいいのです。

問題になるのは固定資産にならない安価な機器です。
こういった機器は設置場所がわからないくらいならまだマシな方で、
そもそも設置したことを忘れ去られるケースすらあります。

3. 設置場所不明になるケース

例えば、無線LANの機器を導入し、その数年後に新しい機器を導入
したとしましょう。この時、新しい機器と旧い機器を並行利用する
ことが多いでしょう。でも全員が新しい機器に乗り換え旧い機器を
誰も使っていなくても勝手に止まってくれたりはしません。動いた
ままです。

さらに時間が経てば、もはや旧い機種があったことすら忘れられて
しまいます。皆が忘れ去った機器など管理できるはずがありません。

こうして誰も知らない機器が接続されたまま、セキュリティホール
が開いたまま、つまり自ら玄関の鍵を開け放しにした状態になって
しまうのです。

そんなことはあるまい、と思われるかもしれませんが機器を一括
管理できていないと実に簡単にこの状態に陥ります。

セキュリティホールを抱えていながら、その存在を知らないわけ
ですから、情報セキュリティ対策上は最悪の状態と言えます。

4. ネットワーク機器は台帳で管理

こうならないためには、ネットワーク機器台帳を作るのが効果的です。

この台帳は、誰が、いつ、どんな目的で、どんな機器を増設したのか？
という情報を組織全体で一元化するためのものです。

これを作っておけば、放置状態となっている機器があっても誰かが
気付いて、そのセキュリティホールを埋めることができます。
これがないと、上に書いたようなセキュリティホールの存在さえ
知らないという状態に陥るのです。

さて、機器台帳には主に次のような情報を持たせます。

・設置日
・機器のメーカ名や型番
・購入先
・設置場所
・設置担当者
・廃棄日（廃棄しない限りはここは空欄です）

台帳はExcelでも紙でも構いません。

さて、各項目について簡単に述べておきます。

・「設置日」は機器の設置日で時間が経った機器を買い替える際の
　指針に使えます。
・「メーカや型番」は機器を識別するのに必要な情報です。同じ
　機器を２台以上購入する場合を考慮し、社内用の管理番号を付番
　しても良いですね。
・「購入先」は先方に設定を依頼した場合、事後の問い合わせ先と
　なります。
・「設置場所」は機器が行方不明になるのを防ぎます。
・「設置担当者」はトラブル発生時の問い合わせ先です。
・「廃棄日」は機器を廃棄した日を書いておきます。
　過去に利用していた機器を知ることができます。

この台帳には購入者が漏れなく記入できれば良いのですが、漏れが
生じない方法であれば、何でも良いでしょう。

台帳の運用が始まれば、毎年の棚卸しでは、機器台帳についても
所在チェックをしてください。

問題は、現状で機器台帳がない場合です。
そもそも、何があるかもハッキリしない状態で機器台帳を漏れなく
作成するというのは無理筋です。

5. 機器がわからなければ、まずはネットワーク図を

その場合は、ネットワーク機器を購入している業者に「ウチの
現状のネットワーク図を作って欲しい」と相談してみてください。

ネットワーク図というのは、ネットワーク機器間の繋がり方を図面
にしたものです。事件の時に新聞や週刊誌でよく見る「人物相関図」
みたいなものです。

もちろん、自分達で作っても良いのですが、その場合は所在のわか
らない機器が漏れる可能性がありますし、そもそも存在を把握でき
ていない機器はおそらく漏れてしまいます。

一方、プロにお願いした場合は、棚卸しのように実際の機器を調べ
るわけではありません。
ソフトウェアを使ってそのネットワークに接続している全ての機器
の一覧を作成します。ですから、実機の設置場所がわからなくても、
ネットワークに接続している機器を漏れなく調べることができます。

ネットワーク図では、実機の設置場所まではわからないのですが、
それでも自組織のネットワークにどんな機器がつながっているかは
わかりますので、これを元に組織内の捜索を行って機器台帳を作成
していってください。

さて、ここまででも十分に面倒な作業なのですが、この後にもいろ
いろと面倒な作業が残っています。

次回は、今回に続いて機器のメーカ確認、バージョン確認などの
作業について解説をします。

次回もお楽しみに。

このNoteは私が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html