Comments
Description
Transcript
JV現場ネットワークの構築と運用ガイドライン
JV現場ネットワークの構築と運用ガイドライン 補 足 版 平成14年7月 社団法人 日本土木工業協会 社団法人 建 築 業 協 会 目 1. 次 はじめに ....................................................................1 1.1 補足版発刊の背景 .....................................................................................................1 1.2 初版との対比 ............................................................................................................1 1.3 展開と取り扱いについて ..........................................................................................2 2. コンピュータウィルス蔓延の防止 ..............................................3 2.1 コンピュータウィルス対策の必要性 ........................................................................3 2.2 日常実施する項目 .....................................................................................................3 2.3 緊急時に実施する項目 ..............................................................................................3 2.4 日常なるべく実施する項目.......................................................................................4 3. インターネットへの直接接続について ..........................................5 3.1 直接接続のリスク .....................................................................................................5 3.2 ネットワーク構成例 .................................................................................................5 3.3 外部関係者と情報共有するサーバ(外部公開用ホームページ等)の設置について .8 4. 無線LAN ..................................................................9 4.1 基本的な考え方.......................................................................................................9 4.2 想定されるリスク ...................................................................................................9 4.3 リスク回避のための最低限の方策 ..........................................................................9 4.4 ネットワーク構成例..............................................................................................10 4.5 導入・運用上実施すべき項目 ...............................................................................10 用語解説 .........................................................................11 (参考)ウィルス対策ソフトのチェックリスト .......................................13 あとがき .........................................................................14 i 1.はじめに 当編は、平成 13 年 4 月に (社)日本土木工業会及び(社)建築業協会より発行された「JV 現場ネットワークの構築と運用ガイドライン」 (以下初版とする)を、補足するものである。 初版の基本的な考え方を全面的に踏襲し、技術の発展により変更の必要のある部分のみを 掲載した。 1.1 補足版発刊の背景 平成 13 年 4 月に発行された初版は、JV 現場における情報共有の促進と、JV 構成会社及 び外部関係者との情報共有方法の標準化を主目的としており、本分野における唯一の指針 となっている。 しかし、最近の建設現場における情報ネットワーク技術や情報ネットワークの利用環境 は ①Nimda や KLEZ に代表される繁殖力の強い悪質なコンピュータウイルスの蔓延、また各種ネ ットワーク犯罪の急増 ②ADSL や VPN 等新通信技術による情報ネットワークの高速化・低価格化による常時接続の普 及、JV 構成各社との接続方法の多様化 ③発注者、設計者、コンサルタントとの情報共有、協力業者、他工区との情報共有等現場ネ ットワークに対する要求の多様化。公共工事における電子納品の実運用の開始 等、急激に変化しており、これら最近の変化に早急に対応する事が必要との声を受け、今 回本ガイドライン補足版を発刊するに至った。 本補足版は、その中でも特に早急に対応する必要のある、「コンピュータウィルス蔓延の 防止」、「インターネットへの直接接続」、「無線 LAN」の3項目について、具体的な問題点 を洗い出し、対処方法としてまとめた。JV 現場でのセキュリティーポリシー等運用管理体 制や情報管理の方法等に関しては、次回のガイドライン改定時に掲載することとした。 1.2 初版との対比 (1)コンピュータウィルス蔓延の防止 ウィルス対策は、建設現場においても、例外なく実施することが社会的に要請されてい る中で、本補足版では、「4.3 コンピュータウィルス蔓延の防止(初版)」を、すべての建 設現場およびその関係者が徹底するべき事項として、さらに詳細に記載した。 また、本補足版では、各構成会社や関係者の情報ネットワークの安全性を確保すること を最優先し、対策を講じない関係者に対しては、JV 現場ネットワークへの接続を拒否する ことも可能とした。 1 (2)インターネットへの直接接続 JV 現場ネットワークからのインターネットへの接続は、各構成会社のファイアウォール を経由することを基本としているが、ADSL などの安価なサービスが提供されるようになり、 各構成会社を経由しない形態も実際に活用され始めている。本補足版では、「2.2 ネットワ ーク構築の基本的考え方(6)インターネット常時接続(初版)」をより具体的に詳細に記 載した。 (3)無線LAN 無線LANの利用については、ネットワーク敷設が容易などの理由から導入の要請が急 増することが予想されるが、その一方で大きなリスクも存在するため、本補足版では、「2.2 ネットワーク構築の基本的考え方(5)無線LAN」(初版)」をより具体的に記載した。 1.3 展開と取り扱いについて 本補足版は、初版の「1.4 展開と取り扱いについて」の考え方を踏襲している。実際の運 用については、当補足版を参考に、JV 現場内で、各構成会社のポリシーとの調整を十分に 行った上で、対応して頂きたい。 2 2.コンピュータウィルス蔓延の防止 2.1 コンピュータウィルス対策の必要性 JV 現場においては、コンピュータウィルス(以下ウィルスとする)の蔓延を防止するた め、2.2 節以降に示すウィルス対策を実施しなければならない。ネットワークに接続され たパソコンがウィルスに感染すると JV 現場内だけではなく外部関係者や構成員各社のネ ットワークシステムを停止させてしまう危険性もある。また、ウィルス感染による取引先 との信用低下や感染被害の責任を問われるような事態にも発展しかねないので、必ず対策 を実施する。 ウィルスの侵入ルートは、電子メール、インターネット上のホームページ閲覧、電子デ ータ保存媒体(フロッピー、CD-R、MO など)およびネットワーク上の共有ファイルなどか らである。これらからのウィルスの侵入を検知するため、ウィルス対策ソフトをパソコン にインストールし常時稼動させておくことが必須である。 2.2 日常実施する項目 ①JV 現場事務所内の全てのパソコンにウィルス対策ソフトをインストールし、常時稼動させ る。インストールされていないパソコンはネットワークに接続させない。 ②各構成会社が導入するパソコンにインストールするウィルス対策ソフトは、それぞれの会 社が用意する。 ③ウィルス対策ソフトでは、常に最新の定義ファイル*1 およびエンジン*2 を使用する。最低 でも週 1 回は更新作業を行う。 ④電子メールを使用する場合は、ウィルスチェック機能を有するメールサーバを使用する。 ISP*3 やレンタルサーバ*4 などの外部のメールサーバを使用する場合は、ウィルスチェック 機能を有していることを必ず確認する。 ⑤知らない人からのメールや意味の分からない表題のメール等不信なメール(特に添付ファ イル付き)は開封しない。 ⑥業務上必要のないホームページは絶対閲覧しない。また業務上必要のないメーリングリス ト*5 やメールマガジン*6 へは登録しない。 ⑦外部から持ち込んだ電子媒体(フロッピー、CD-R、MO など)を使用する場合は、ウィルス 対策ソフトを手動で起動し事前確認をとる。 2.3 緊急時に実施する項目 (1)ウィルスに感染した時 ①パソコンでウィルスを検知もしくは感染した場合は、JV ネットワーク内へのウィルス感染 3 を防ぐため、ネットワークに接続している LAN ケーブルを即座に外す。 ②外部へのウィルス感染を防ぐため、JV 現場内のネットワークからウィルスが完全に除去さ れるまで外部とのネットワークを遮断する。 ③各構成会社のネットワーク担当者に連絡する。 ④各構成会社のシステム担当部門に連絡する。 ⑤ネットワーク担当者は、構成会社のシステム担当部門の協力を得て、ウィルス感染の防御、 駆除および復旧を行う。この場合、各構成員の了解を得た上で、他社構成員のパソコンを 扱うことができる。 ⑥ネットワーク担当者は、構成会社のシステム担当部門などと協力して、ウィルス発生ルー トをできるだけ解明し再発の防止に努める。その際、ウィルスの蔓延を防止するために、 必要に応じて、ウィルスの送付元や現場から送付した可能性のある送付先に連絡をする。 (2)新種のウィルスが蔓延しているという情報を入手した時 ①インストールしているウィルス対策ソフトの定義ファイルやエンジンが、その新種ウィル スに対応し、利用しているパソコンで使用可能になるまでは、外部とのメール送受信やホ ームページ閲覧などは行わない。 ②各構成会社からの指示に従い、定義ファイルやエンジンの更新作業を頻繁に実施する。 ③メールなどで送られてくるウィルス情報の中には、デマ情報もあるので、情報が不信な場 合は必ず構成会社のシステム部門に確認をして対処する。 2.4 日常なるべく実施する項目 ①ウィルス対策ソフトの定義ファイルやエンジンの更新は、できる限り自動で行なわれるよ うにする。 ②各構成会社のシステム担当部門の指示に従い、基本ソフト(OS)、ブラウザやメールソフ トに適切なセキュリティパッチ*7 をあてるように努める。 ③JV 現場内において、付録のチェックリストを用いて、定期的に全てのパソコンのウィルス 対策ソフトが正しく利用されているか確認する。(1 ヶ月に 1 度程度) 4 3.インターネットへの直接接続について 3.1 直接接続のリスク JV 現場ネットワークからインターネットを利用する場合、JV 構成会社のネットワークを 経由することでセキュリティを確保するのが基本である。 しかし、ADSL、CATV など高速で安価な常時接続サービスの普及により JV 現場のインタ ーネット活用も多様化し、JV 構成会社のネットワークを経由せずにインターネット接続が 必要なケース(以下直接接続とする)も増えている。 このような、利用者がセキュリティに責任を持つ一般的な、インターネット常時接続サ ービスを利用する場合、インターネットを利用するパソコンを JV 現場ネットワークから切 り離し、セキュリティを確保することを最初に検討しなければならない。検討の結果、止 むを得ず JV 現場ネットワークをインターネットへ直接接続することが必要な場合、直接接 続することにより生じるセキュリティのリスクを充分に理解し、構成会社間で協議の上、 接続しなければならない。 (1)インターネット利用時のおもなリスク ①コンピュータウィルスの感染 ②インターネットから JV 現場ネットワークへの侵入 ③第三者に被害を及ぼすことを目的とした、JV 現場ネットワーク上のサーバやパソコンなど の無断使用(踏み台) ④情報の漏洩 ⑤データの破壊 (2)セキュリティの必要性 JV 現場ネットワークからインターネットに直接接続する場合、(1)で挙げた②と③の リスクが特に増大する。これら現場が直面するリスクを回避するため、接続方法や利用機 器に合わせて適切なセキュリティ設定をおこなわなければならない。 3.2 ネットワーク構成例 外部関係者と情報共有するサーバ(外部公開用ホームページや FTP サーバ等)を設置し ない場合の、インターネットへの直接接続例とセキュリティ上の留意点について説明する。 (1)ルータを利用してインターネットに接続(推奨) 常時接続またはダイアルアップ接続で JV 現場ネットワークをルータ経由でインターネ ットに接続する場合、現場ネットワークから必要な通信のみ通過を許可し、不要な通信を 通過させないよう、少なくとも以下の要件を考慮し設定、運用する。 5 ∙ IP マスカレード(NAPT)*8 による LAN 側 IP アドレスの隠蔽 ∙ インターネットにルータを介して接続できるパソコンの登録(IPアドレスなど) ∙ ルータの管理用パスワードの変更、インターネットからルータへの直接接続(telnet 等)を拒否 ∙ パケットのフィルタリング 例)Windows のファイル共有、IP アドレスのなりすまし、ルータに対する ping などの フィルタリング ・ルータのファームウェアを適時アップグレード ・ルータの設定、パスワードを管理する担当者を明確にする 図1 ルータを利用したインターネット接続例 6 (2)特定のパソコンのみダイアルアップでインターネットに接続(許可) JV 現場ネットワーク内の特定のパソコンをインターネットにダイアルアップ接続する 場合、非常に危険なので、そのパソコンを現場ネットワークから切り離して(LAN ケーブ ルを外す)利用すること。 どうしても避けられない理由で JV 現場ネットワークから切り離すことができない場合、 セキュリティ確保のためパーソナルファイアウォールを導入し、ルータを導入した場合に 準じたセキュリティ対策の上、利用すること。また、基本ソフト(OS)やブラウザの修正 モジュールやアップグレードを適時実施すること。 図2 ダイアルアップでのインターネット接続例 7 (3)特定のパソコンを常時接続でインターネットに接続(禁止) JV 現場ネットワーク内の特定のパソコンを ADSL モデムなどを利用して常時接続でイン ターネットに直接接続することは、セキュリティの確保ができないため禁止とする。パソ コンが1台であってもルータを導入し、セキュリティを確保した上で常時接続をおこなう こと。 図3常時接続パソコンの現場 LAN への接続禁止例 3.3 外部関係者と情報共有するサーバ(外部公開用ホームページ等)の設置について セキュリティの確保や維持に相当のコストを要するため、ASP(アプリケーションサービ スプロバイダ)やホスティングサービスなどセキュリティ対策の完備した外部サービスを 利用することを推奨する。 JV 現場ネットワーク内に外部関係者と情報共有するサーバを設置する場合は、相応のフ ァイアウォールを構築し、サーバに対してセキュリティパッチの適用を随時行う必要があ る。また日常的にログの確認やセキュリティ情報の入手等の管理業務も実施する。 8 4.無線LAN 4.1 基本的な考え方 無線 LAN については、レイアウト変更が容易で、電波の届く範囲内であればどこからで もネットワークに接続できるなどのメリットがあるため、その導入要望には根強いものが ある。その反面、有線 LAN と比較すると、セキュリティ上のリスク、無線 LAN 規格の乱立 による標準化の難しさ、運用上の負荷、というデメリットもある。これらのデメリットに ついては、ある程度の回避策はあるものの必ずしもそれで万全という訳ではない。 従って、当ガイドラインとしては、導入した場合のリスクやリスク回避のための最低限 の方策についてコメントするが、積極的な導入の推奨はしない。“使える範囲内で使う”と いうスタンスで導入する場合の注意事項として述べている。 4.2 想定されるリスク (1)“無線”という危険性 電波は、壁や窓ガラスを突き抜けていってしまう性質を持つため、悪意を持った人が作 業所に導入している製品と同一メーカーや同一規格の製品を利用すれば、簡単に侵入する ことができてしまう。また、無線 LAN 対応のアナライザ*9 を用いてネットワーク上のデー タを盗聴することも可能である。 (2)アクセスポイント乱立による電波干渉 各構成会社がそれぞれ無線 LAN のアクセスポイント*10 を乱立すれば、電波の干渉が起こ ることが予想される。その場合、通信速度が遅くなる、通信が切断されるなどの障害が発 生する。また、金属板等により電波が届かない場合や、無線 LAN 機器以外(アーク溶接な ど)の干渉による接続不良も考えられる。 (3)異種製品の互換性の問題 現在普及している無線 LAN 機器の規格は数種類あり、その互換性の問題から相互に接続 できないことがある。 4.3 リスク回避のための最低限の方策 (1)“無線”という危険性に対して ①無線 LAN のアクセスポイントにパソコン側の無線 LAN カード固有の MAC アドレス*11 を指定 することで、無線 LAN に接続できるパソコンを限定する。 ②無線 LAN のアクセスポイントと、接続するパソコンに、共通の SSID*12 を指定することで、 無線 LAN に接続できるパソコンを限定する。 9 ③無線 LAN の WEP*13 機能を利用する事により、通信データの暗号化を行う。 ④無線 LAN の DHCP*14 機能を利用すると、無線 LAN に侵入してきた部外者の端末に自動的に IP アドレスが割り当てられてしまう危険性があるため、利用しない。 (2)アクセスポイント乱立による電波干渉に対して JV 現場内全体でアクセスポイントの配置計画を立て、それに基づいて導入する。 (3)異種製品の互換性の問題に対して 無線 LAN 機器は、互換性の問題をクリアする上で、同一の規格、同一のメーカーで統一 することが望ましい。 4.4 ネットワーク構成例 有線 LAN にアクセスポイントを接続し、ケーブル敷設が困難な場所で利用する一部のパ ソコンや、自席や会議室など移動して利用するノートパソコンなどを無線 LAN 接続する。 図4 4.5 一部のパソコンを無線 LAN 接続した例 導入・運用上実施すべき項目 無線 LAN を導入・運用する際には、以下の内容を実施する。以下の実施を怠るとセキュ リティ上の落とし穴になりかねない。 ①一部でも無線 LAN を導入すると、JV 現場ネットワーク全体のセキュリティに影響を与える ため、導入前には、JV 構成会社全体の承諾を得る。 ②無線 LAN の設定を行う権限は、ネットワーク担当者だけに付与し、パスワードや設定内容 の管理を行う。 ③無線 LAN カードの管理を厳重に行い、盗難・紛失の際には、アクセスポイントの設定から 削除することにより、接続できなくする。 10 用語解説 *1) 定義ファイル ウィルスに関連したファイルの特徴を集めたデータベースのこと。ウィルス対策ソフトはパ ソコンで扱うファイルをこのデータベースと比較してウィルスを発見する。「パターンファ イル」とも呼ばれる。 *2) エンジン 定義ファイルを参照してウィルスを検知するプログラムのこと。 *3) ISP(Internet Services Provider) 営利目的でインターネットへの接続サービスを提供する企業。インターネット接続のための 伝送路を提供する他に、電子メールのサービスなどを提供する。 *4) レンタルサーバ インターネットに情報を発信するウェブサーバや、電子メールの送受信に必要なメールサー バの機能を提供するサービス。自社内にこれらのサーバを設置できない場合や、機器の運用 コストを抑えたいときに利用される。 *5) メーリングリスト 電子メールを利用して、参加者全員に同じメールを配信するしくみ。 *6) メールマガジン 電子メールを利用して、発行者が購読者に定期的にメールで情報を届けるサービスのこと。 *7) セキュリティパッチ ソフトウェアに保安上の弱点(セキュリティホール)が発覚した時に配布される修正プログ ラムのこと。 *8) IP マスカレード(NAPT) NAT(Network Address Translation)とは、LAN で使用されるプライベート IP アドレス をグローバル IP アドレスに変換する仕組みのことである。さらに NAT を改良した IP マスカ レードでは、IP アドレスに加えて TCP や UDP のポート番号も変換する。これにより、1つ のグローバル IP アドレスで、複数のホストが同時にインターネットに接続できるようにな る。 11 *9) アナライザ LAN 上に流れている信号を監視や解析するソフトのこと。 *10) 無線 LAN のアクセスポイント 無線 LAN から有線 LAN のネットワークに中継するための装置のこと。 *11)MAC(Media Access Control adress)アドレスによるアクセス制限 MAC アドレスとは、「00-00-00-00-00-00」のように 2 桁の英数字が 6 個並んだ番号である。 LAN カードやル−タなどの通信機器には、必ず記載されている。 アクセスポイントに、パソコン側の無線 LAN カードの MAC アドレスを登録することで、登 録されていない無線 LAN カードからの通信を拒否することができる。 *12)SSID(Service Set Identification)によるアクセス制限 アクセスポイントに接続できるパソコンを制限する機能として、SSID というネットワーク 識別子がある。パソコン側の無線 LAN カードとアクセスポイントで同じ文字列が指定され た時だけ通信を行うことができる。ただし、文字列に「ANY」、もしくは空白を設定すると、 全ての無線パソコンがアクセスポイントと接続できてしまい、セキュリティ的に問題があ るので、そのような設定はしない。 *13) WEP(Wired Equivalent Privacy) 盗聴の防止にはデータの暗号化が有効である。無線 LAN の規格では、 「WEP」という仕組み が用意されていて、この機能で通信を暗号化できる。暗号化通信を有効にした場合、WEP のキーを知らないユーザーは無線 LAN に接続出来ない。 WEP の暗号化は脆弱であると言われているが、その盗聴、解析にはそれなりの装備が必要 になる。 *14)DHCP(Dynamic Host Configuration Protocol) LAN 上のコンピュータに動的に IP アドレスを割り当てる方法。コンピュータがネットワー クにログインすると、DHCP サーバーが、あらかじめ用意された IP アドレスの 1 つをその コンピュータに割り当てる。 12 (参考)ウィルス対策ソフトのチェックリスト パソコン管理番号 利用者名 ウィルス対策ソフト名 ソフトウェアのバージョン エンジン番号 13 定義ファイル番号 特記事項 日付 チェック欄 あとがき 国土交通省が推進する CALS/EC は、すでに電子入札、電子納品が本格的に適用されてい る。今後、工事施工フェーズにおける受発注者間の情報交換・共有も本格運用になること が想定される。この傾向は、地方公共団体の発注工事にも展開される見込みであり、建設 現場におけるコンピュータネットワークの管理は、不可避の課題となった。 本ガイドライン(補足版)は、初版発行以降に生じた IT の目覚しい進歩により発生して いる実務上の問題点を3点だけピックアップして掲載した。今後とも先進的な IT の調査を 継続しつつ、時期に即した JV 現場のネットワーク構築に有用な技術を本ガイドラインに反 映すべく適宜改訂を行っていく予定である。 編集委員(敬称略、五十音順) 石井 宜明 (間組) 太田 忠宏 (鹿島建設) 落合 純一 (間組) 北村 達也 (大成建設) 白石 良多 (白石) 中尾 通夫 (大林組) 長谷 芳春 (三井建設) 長妻 一弘 (竹中工務店) 平野 岳志 (白石) 松原 利幸 (大成建設) 八巻 秀一 (飛島建設) 四元 英夫 (清水建設) ※無断で転載することを禁じます 本書に関する問い合わせ先: (社)日本土木工業協会 E-mail: [email protected] http://www.dokokyo.or.jp/ (社)建 築 業 協 会 E-mail: [email protected] http://www.bcs.or.jp/ 14