前提
今月の日経ネットワーク3月号の記事が学ぶことが多かったので気になったところをメモ
メモ
世界初の社内WiFiをたどって標的に侵入する攻撃について
社内NWへの接続方法に①社外からインターネット接続②社内からのWiFi経由が一般的だが
①はどの企業もMFAなど高水準のセキュリティ設定をしているが②についてはビーコンを受信できる範囲まで近づかなければならない
制約から結構緩かったりするがある組織Aの近接する別組織のVPN経由でAのNWに侵入してWiFiが有効な端末を見つけて乗っ取ってそこから
APに接続したらしい(パスワードはパスワードスプレーで特定)
この攻撃はWiFiの電波距離が遠くても100mのところを地球の裏側からでも成功させてしまうところにあるようだ、怖い、MFA大事
以下NW機器選定についての記事のメモ
NW選びの軸は主に5つ(予算、社員や端末数、運用負荷、現状の不満点、データの保管場所)
・社員や端末数の観点
端末数が多くなってくると要求性能が高くなってくるので要注意
拠点の数が多いと遠隔管理機能も必要
ライセンスがどれだけ必要かも注意(FWのVPN機能利用時など)
NW機器を使用する期間を想定してその間増減する端末数を考慮してスケール出来るようにする→人事とも連携(現状の三割増しと大掴みに考える人もいる)
・予算の観点
松竹梅のプランを用意していずれも最低限の必要要件を満たすように準備してどれだけ性能に余裕があるかや運用を助ける機能があるかで判断
※高性能機器であればランニングコストが下がる可能性があるのでそこも考慮
・現状の不満点の観点
NWの更改や拠点追加の場合は現状の不満点の改善を軸にするのもあり
NWの運用管理者が持つ構成管理や変更管理や機器の個別ログインなど課題をまとめ適切なツール、機能の導入
・データの保管場所(SV置き場)
業務システムやFSVは種別に応じてアクセスできるメンバを制限する必要がある→オンプレならVLANやIPのフィルタリング、アプリでアクセス制御の必要
があるがSaaSやクラウドを中心に使うのであれば社内NWはシンプルにできるがIAPやCASBといったセキュリティツールでアクセス制御の必要有
・運用負荷の観点
対応するメーカを統一するのも手で自社が運用にどの程度人手を割けるかを基準に考えるとよい
NW機器は数限りない(UPS,RT,LANケーブル,回線,ラック)→シングルかマルチベンダーか
まず大前提として「性能面の要求を満たすこと」
・シングルベンダ構築のメリデメ→単一メーカなので仕様や機能の点で設計しやすい、メーカー固有の管理機能など使いやすい、メーカー独自のバグで影響範
囲が甚大、単一のディストリビュータから仕入れるので調達が容易
マルチベンダ構築のメリデメ→メーカの組み合わせで工程に遅延発生、事前検証が重い、メーカ固有の機能を活かしきれない可能性、メーカ独自のバグの影響
範囲を限定できる、調達が複雑
・無線LANの構築→オンプレかクラウドか→費用の発生時期がオンプレは購入時に一気に来るがクラウドは導入コストは安い(しかしランニングコストが高く
つくこともあるので要注意)
・有線LANはケーブル選び→cat,色,長さの観点→コアSW周辺はイーサネットの最高速度のcat6Aを選びたいが構造上柔軟性に欠けるため配線環境によって使
い分ける、長さの余裕も大事→重要なSVにつながるケーブルには余長が必要→大震災で余長がなくてSVが引っ張られて倒れるなど
・回線選び→ギャランティ・ベストエフォート型で同じ帯域でも3~4倍の料金差があるので要注意、開通スケジュールにも余裕を持って