ネットワーク セキュリティとは?
ネットワークは、2つ以上のコンピュータ システムで構成されており、それらは物理的に接続されているかワイヤレスで接続されています。これらのネットワークは、接続されたシステム同士が通信する通信プロトコルとは別に、P2Pアーキテクチャまたはクライアント サーバー アーキテクチャを広範囲に使用することで、互いに通信しています。
ネットワーク セキュリティはネットワークのサブグループです。その試みは、ネットワーク境界の中心部から端まで、接続されたネットワーク インフラストラクチャを保護することにあります。一般的にネットワーク セキュリティはネットワーク管理者により管理されており、ITセキュリティ ポリシーの実装をはじめ、ネットワーク ソフトウェアやハードウェアをデプロイすることで以下を達成することを目標としています。
- サイバー攻撃からネットワーク、ネットワーク インフラおよびネットワーク トラフィック全体を保護する
- ネットワーク経由の不正アクセスから、IT資産およびITリソースを最大限に保護する
- 許可されたユーザーがネットワークのIT資産およびITリソースに適切にアクセスできることを保証し、効果的な作業環境を提供する
ネットワーク セキュリティが防ぐ脅威の種類
ネットワークやコンピュータ システムへの主な脅威には以下が挙げられます。
- 分散型サービス拒否攻撃(DDoS)
- マルウェア
- スパイウェア
- アドウェア
- コンピュータ ワーム
- ボットネット
- トロイの木馬
ネットワーク セキュリティの仕組みとは?
ポリシー
An ITセキュリティ ポリシー は、組織のIT資産やリソースへのアクセスと使用に関するルールや手続きを明確に規定するものです。これらはアクセス許可を受けたすべての個人を対象とするものであり、ネットワーク セキュリティの行動指針を定めた基本となる文書です。その目標は、組織資産のセキュリティを保証するためのルールを明確にすることにあります。
今日では、従業員がツールとアプリケーションを頻繁に使用し、生産的にビジネスを行っています。組織の文化を基に運用されるポリシーは、これらの一連の活動を支援し、従業員がツールを安全に使用できるよう定められています。組織を対象とするいかなる規制やコンプライアンスの実施だけでなく、監査の手順も、ポリシーに明記されている必要があります。
エンフォースメント
エンフォースメントは、すべてのネットワーク トラフィック フローを分析し、ネットワークのすべてのシステムと情報の機密性、完全性、可用性を保持することを目指すことが求められています。保護を実行するうえで、ネットワーク セキュリティは深層防御モデルで機能し、以下より構成されるCIAの3要素の原則に従います。
- 機密性 - 不正なエンティティから資産を保護する
- 完全性 - 資産の変更が指定および許可された方法で行われることを保証する
- 可用性 - 許可されたユーザーが前述の資産に継続的にアクセスできるシステムの状態を維持する
強力なエンフォースメントは、ネットワーク トラフィック フローにCIAの原則を反映するものです。これはトラフィック フローをアプリケーション、ユーザー、コンテンツに分類することから始まります。コンテンツを分類する手段として、ポート、プロトコル、あいまいな戦略や暗号化に関係なく、すべてのアプリケーションはまずファイアウォールに識別される必要があります。適切に識別されたアプリケーションとは、それ自体が持つコンテンツに完全な可視性を提供するものです。ポリシー管理は、アプリケーションを識別し、その使用をユーザーIDにマッピングすることで簡素化することができます。またこれにより継続的なコンテンツ検査を実現し、CIA原則の維持を促進できます。
深層防御の概念は、ネットワーク セキュリティのベストプラクティスとして認識されており、ネットワーク保護を多層化して行うことを規定するものです。多層構造により、ネットワークに侵入しようとしている脅威を篩い落とし、さまざまなセキュリティ コントロールを適用します。こうした防御策には、アクセス制御、識別、認証、 マルウェア 検知、暗号化、ファイル タイプ フィルタリング、 URLフィルタリング 、コンテンツ フィルタリングが挙げられます。
これらの防御層は、ファイアウォールのデプロイメント、 侵入防御システム(IPS) 、アンチウィルス コンポーネントを通して構築されます。エンフォースメント向けのコンポーネントのうち、ファイアウォール(アクセス制御のメカニズム)は、ネットワーク セキュリティの基礎となるものです。
レガシー テクノロジーにネットワーク トラフィック フローのCIAを取り入れるのは、困難を伴います。従来のファイアウォールでは、アプリケーションの識別に、ポートやプロトコルに依存した制御を強いられる課題(現在のアプリケーションはその制御を迂回する回避的な特性が開発されている)があるほか、IPアドレスがユーザーIDと同じであるという前提に悩まされてきました。
次世代ファイアウォールでは、アクセス制御の役割を担いながらもテクノロジーを再設計しています。ポート全体におけるすべてのトラフィックを認識し、アプリケーションやコンテンツを分類することが可能であり、従業員をユーザーとして認識します。これにより、アクセス制御がITセキュリティ ポリシーを実施するだけのニュアンスが確保され、妥協無きセキュリティを組織内の各従業員に適用できます。
ネットワーク セキュリティを多層化し、徹底的な深層防御戦略を実現する追加的なサービスは、アドオン コンポーネントとして従来モデルに組み込まれてきました。例えば、IPSとアンチウィルスはコンテンツをスキャンしマルウェアからの攻撃を防ぐ効果的なツールです。しかし、組織はネットワーク セキュリティが複雑化し、追加コストがかかる点に注意しなければならず、さらに重要なこととして、ファイアウォールの主要な機能がこれらの追加的なコンポーネントに依存しないように気を付ける必要があります。
監査
ネットワーク セキュリティの監査プロセスの要求事項として、エンフォースメントの方法がいかにセキュリティ ポリシーに準じてきたかを再確認することが求められています。監査では、一貫して組織にポリシーの適用を求めることで継続的な改善を促すことが期待されます。監査を実施することで、組織は必要とされる箇所にポリシーとエンフォースメント戦略を調整する機会を得ることができます。
ネットワーク セキュリティに必須のコンポーネントとは?
ファイアウォール、IPS、ネットワークアクセス制御(NAC)、セキュリティ情報イベント管理(SIEM)はネットワーク セキュリティにおける最も主要な4つのコンポーネントです。その他には、データ損失防止(DLP)、アンチウィルスおよびアンチマルウェア ソフトウェア、アプリケーション、Webおよび電子メール セキュリティなどがあります。
すべてのデータとアプリケーションがネットワークに繋がっていることから、ネットワーク セキュリティはデータ漏洩からネットワークを守るのに欠かせない要素です。ネットワークをハッキングされると、組織は信用を失い、ビジネスの世界から退場を迫られる可能性があります。良質なネットワーク セキュリティシステムは、企業がデータを窃盗され、破壊の犠牲になるリスクを最小化することができます。
