どういう風にセキュリティ対策をしたらいいですか?その相談があった時に、最初に確認することが2つある。一つ目は「セキュリティポリシーは策定してますか?」二つ目は「ネットワーク構成図がありますか?」この2点である。私の経験上、ほとんどの中小企業にはこの2つが存在しない。これがセキュリティ対策をする上で、検討のスタートになる正に起点なのだが、存在しないのである。だから、迷うことになるのだ。現状を把握せずに次のステップへと進むことはできない。
具体策を講じる上で、ネットワーク構成図は必須である。なぜ、必須であるのか。そして、ネットワーク構成図はどのように入手・作成したらいいのか解説させていただく。
ネットワーク構成図から分かること
IT投資やセキュリティ対策を検討する上でネットワーク構成図は必須である。現状がどうなっているかがわからずに新たに導入や変更を加えることはできない。たとえ、できたとしても、どこかでつじつまが合わなくなって不具合が生じる可能性がある。
ネットワーク構成図で分かること。言い換えればネットワーク構成図に記しておくべき事項について解説する。
機器の台数と物理的な設置場所
複数の拠点が存在するなら、まずは大きな枠として拠点間の配置図を書く。接続されている機器(インターネットの出入口に設置されているもの)と、サーバの配置について書き込む。PCなどの細かな状況はこの図では不要である。インターネットの出入口の機器に接続されている、社内ネットワークへ展開される機器までは必須だ。回線の種類と速度についても記載をしておく。
次は、各拠点内部のネットワークだ。何フロアもある本社ビルのような場所だとフロア間接続の配置図が必要となり、次に各フロアごとの構成図となる。フロアの構成図には、PC、プリンタ、HUBなど機器の詳細配置を記載する。
大きくはこの3つに分類される。単一拠点で1フロアの場合は1枚の構成図で成立するということになる。
ネットワーク構成図は社員名簿みたいなものです
ネットワーク構成図は社員名簿みたいなものである。社員数を把握せずに採用活動するなんてことはあり得ないですよね…
データフロー(通信状態)
前項で作成したネットワーク構成図に、データフローを書き入れていく。制御しているプロトコルや、物理的・論理的に制御している通信について記載する。ネットワーク機器には、トラフィックの影響による輻輳防止や、セキュリティ対策の観点から通信を細かく制御する機能が実装されている。その設定をネットワーク構成図に書くことで、視覚的に自社ネットワークの状態を把握することができるようになる。
脆弱な部分が見えてくる
ネットワーク構成図はあくまでも机上で把握するだけになり、実データを取得して検証しているわけではないが、本来の機器の性能を使用せずに、意図せずデータを垂れ流している(設定をしていないため)状態になっているかもしれず、セキュリティ上の問題が検出できるかもしれない。
設定の確認は、各機器のコンフィグレーションファイルから確認できる。現在はほどんとブラウザから閲覧できるUIが提供されているため、機器にログインすることで確認は可能だ。
ネットワーク構成図の作成方法
実施にネットワーク構成図はどのように作成していけばいいのか?未経験であれば、とまどうこともあるかもしれない。以下にいくつか解説する。
ネットワーク構成図作成ツールで自作
Excleやスプレッドシートに、PCやネットワーク機器のアイコンを配置して線で繋ぐという作成方法もあるが、無料のネットワーク構成図作成ツール等もあるので、ネットで検索してみると良い。書き方の参考になる画像も多々アップされている。
どの程度の大きさになるかは、ネットワーク規模にもよるがPowerPointなど紙面が固定的なものに構成図を書き込むというのは、なかなか使い勝手が悪いのでオススメできない。絵を描くことと似たような作業なので、PPTは慣れていて使いやすいであろう…と、思われる方もいるかもしれないが決してそんなことはない。
中小企業ではIT関連業務を兼務で…という、方が多いと思われるので自作で…ということは、そもそも推奨しない。自作するべき!という主張であれば、描き方について詳細を解説するが、そのような主旨で解説する意図はないので作成方法の具体論については言及しない。
ネットワーク施工ベンダーに提出してもらう
ネットワークを施工・施設してもらったベンダーから納品ドキュメントとして、ネットワーク構成図が提示されることはあるだろう。どこまで細かく書いてくれるかはベンダーによって差異はあるだろうが、私の経験からすると未提出で工事完了!となることは、ほとんどない。
簡易的なものでもどのような施工や設置をしたかが、把握できるドキュメントは提出されるはずである。もし、未提出で社内で見つからないという場合は、ベンダーに要求してみることだ。何かベースになる資料が無く白紙の状態からネットワーク構成図を描くのは、なかなか大変な作業になる。
ネットワークを継ぎ足したように増設した場合など、構成図がないまま納品完了。と、される場合もあるようだ。ここ最近で私が接した中小企業の中に、ネットワーク構成図はありませんね…という企業は、少なくないのだ。いや、ほとんど(半年で10社程度だが)が存在しないと言っていたのは、驚きであった。納品物として改めて要求することだ。費用がかかりますと言われたら、その根拠を明確にしてもらうことだ。
ネットワーク施工時の見積書や発注書に納品物として、ネットワーク構成図などのドキュメント類について、一切触れらていないとしたら、ベンダー側の言い分に一理ある。ということになってしまう。
IT・セキュリティの専門家に依頼する
最後は、IT・セキュリティ関連の専門家に依頼をして作成してもらうということだ。最後に…と、申し上げたが現実的に考えると、ほとんどの中小企業はこの選択肢を取るしかないだろうと思われる。費用はかかるが、ネットワーク構成図がなければ、セキュリティ対策の強化やインフラの更改・再構築を具体的にどうするのか把握することができない。
設計図がないままで、リフォームや増築をお願いするようなことになってしまうのだ…
専門家の選定についてか以下の記事もご参照ください。
また、データフローや機器のコンフィグレーションを見るには、ITに関する専門的な知識も必要となるため、現実的に考えると、ネットワーク構成図作成ツールがあったとしても作ることはできないであろう。
それなりの費用は発生することになるが、必要な投資である。ネットワーク施工ベンダーに改めて依頼するという選択肢もあるが、納品時にネットワーク構成図を納品物として提示しないベンダーは元、同業の者としては信頼性に欠けるという評価になる。(強い表現をすると、あり得ないし不親切である。)依頼しても、費用がかかります。との回答が出てくるであろうことは容易に想像できる。
弊社が提供するサービス【PIT-Sec.】には、基本運用管理という項目でネットワーク構成図を最新の状態にするというものは標準で構成している。中小企業で、ネットワーク構成図が無いケースが非常に多いことから、これを作成し現状がどうなっているのかを説明し共有してもらわなければ、経営者に安心してもらうことはできないからだ。
ネットワーク構成図が存在しない、現状について確認する術がなく困っているという方がいらっしゃれば、こちらから相談していただいても結構です。
最後まで、お付き合いくださりありがとうございました。
また、お会いしましょ。
