ネットワークセキュリティとは、可用性・機密性・完全性を損なう攻撃や障害から、すべてのITリソースを保護するための総称です。これには、マルウェア対策技術、ファイアウォール、侵入検知/防御(IDS/IPS)、データ漏洩対策、その他の各種セキュリティ機能が含まれます。
ネットワークセキュリティは、さまざまな保護技術や仕組みで構成されており、脅威の高度化に合わせて進化し続けています。攻撃手法が多様化する中、組織は継続的に防御対策を強化する必要があります。
最適な保護を実現するためには、まず現在の脅威動向や自社ネットワークの脆弱性を正しく理解することが重要です。さらに、利用可能な対策や技術を把握することで、適切なソリューション選定、ベンダーの比較、最適な設定の適用につなげることができます。
脅威とは、リソースの機密性・可用性・完全性を損なう可能性のある潜在的なリスク要因を指します。脅威には、機密データの漏洩、データの改ざん、サービスへのアクセス拒否(DoS)などが含まれます。
脅威の状況は、脅威そのもの、攻撃者、そして攻撃を成立させる脅威ベクトル に関する情報で構成されます。攻撃者とは、脆弱性を悪用して攻撃を実行する個人またはグループです。
たとえば、ノートパソコンが盗難に遭った場合、攻撃者は窃盗犯となります。脅威ベクトルは、鍵のかかっていないドアや、ノートパソコンがデスクに固定されていないといった、攻撃が成立する経路を指します。
脅威が現実の攻撃として顕在化するためには、悪用可能な脆弱性の存在が前提となります。脆弱性とは、攻撃者がセキュリティポリシーを侵害するために利用できる弱点や欠陥のことです。
ノートパソコンの例では、軽量設計や携帯性、利便性はユーザにとって魅力的な機能ですが、同時に盗難リスクの増大につながる弱点にもなります。ドアロックやケーブルロックといったセキュリティコントロールは、攻撃の難易度を高め、盗難リスクを低減し、全体的なリスク軽減に寄与します。
情報セキュリティの主要な目的である機密性・完全性・可用性(CIA)を維持するため、セキュリティプロセスは大きく「防御」「検知」「対応」の3つのフェーズに分類されます。
防御フェーズの柱は以下のとおりであり、十分に文書化されたポリシーに基づいて実行されます。
検知とは、システムの活動を監視・記録する仕組みを活用し、侵害や悪意のある挙動の兆候を把握することです。異常が確認された場合には、検知システムが管理者または担当者に速やかに通知する必要があります。検知は、計画に基づく適時の対応 と組み合わせることで初めて価値を持ちます。
対応とは、インシデント発生時に実施する計画的な修正措置であり、進行中の攻撃の遮断、最新パッチの適用、ファイアウォール設定の更新などが含まれます。
ネットワークセキュリティにおける主要な概念を理解することは重要です。利用者が脆弱性や脅威アクターを認識していない場合、どのセキュリティコントロールを導入すべきか適切に判断できません。たとえば、システムにアクセスする前にユーザのIDを検証する必要性を理解することは、適切なベンダーやソリューションを選定するために重要です。
アクセス制御は広く知られているセキュリティコントロールの一つです。多くの人は日常的にパスワードを使用してコンピュータへログインしており、ネットワークやアプリケーション、ファイルへアクセスする際にも用いられます。一般的な利用者は、少なくとも10個以上のパスワードを管理していると言われています。
アクセス制御はIAAA(識別、認証、認可、アカウンタビリティ)の4つの要素で構成されます。
識別(Identification):ユーザIDやユーザ名など、一意の識別子でユーザを特定します。
認証(Authentication):パスワードのような「ユーザが知っている情報」、IDカードやワンタイムパスワードのような「所有しているもの」、生体認証のような「ユーザ自身の特性」を用いて本人確認を行います。
認可(Authorization):認証後、ユーザが利用できる機能やデータを制御します。
アカウンタビリティ(Accounting):ユーザの操作履歴を記録し、行動に対する説明責任を担保します。
現在では、パスワードだけでなくハードウェアトークン、ソフトウェアトークン、スマートカード、生体認証など多様なアクセス制御手段が利用可能です。ネットワーク環境に適した方式を選択することが重要です。
ネットワークセグメンテーションとは、ネットワークを小さな論理セグメントに分割し、適切なコントロールを加えることでパフォーマンス向上とセキュリティ強化を実現する手法です。VLAN(仮想ローカルエリアネットワーク)は、オンプレミスとクラウドインフラストラクチャの両方で実行される一般的なネットワークセグメンテーション手法です。クラウド環境で使用される場合は、VPC(仮想プライベートクラウド)と呼ばれます。
従来型の物理データセンターにおけるネットワークには、外部との接続ポイントを基準とした明確な境界が存在していました。しかし現在では、クラウド利用やリモートアクセスの普及により境界の定義はより複雑になっています。それでも、同様の対策技術は引き続き重要です。
これには、ファイアウォール(FW)、侵入検知システム(IDS)、侵入防御システム(IPS)などが含まれます。境界を設定する際は、データ・音声・ビデオなど、どの種類のトラフィックを許可するかを明確にする必要があります。許可すべき通信内容を正しく把握することで、適切な制御メカニズムを構築できます。
暗号化は、鍵を使ってデータを暗号文に変換することで、転送中や保存中の情報の機密性と完全性を確保する仕組みです。暗号化方式には、共通鍵暗号方式(対称暗号)と公開鍵暗号方式(非対称暗号)の2種類があります。
共通鍵暗号方式の概念は古く、古代エジプトでも機密保持のために類似の仕組みが利用されていたとされています。現代では、はるかに高度なアルゴリズムが使用されています。たとえば、オンラインバンキングでは通信セッションの機密性を共通鍵暗号方式で保護し、その共通鍵を安全に交換するために公開鍵暗号方式が利用されます。
ハッシュ処理は、元のデータを基に固定長のハッシュ値を生成するアルゴリズムです。これは、データが改ざんされていないことを検証するために用いられます。
ハッシュアルゴリズムを使用することで、受け取ったメッセージやファイルが途中で誤って、あるいは悪意を持って書き換えられていないかを確認できます。さらに、ハッシュ値を暗号化して保護することで、攻撃者による改ざん検出能力を高めることができます。ハッシュは、パスワードの安全な保存、ファイル改ざんの監視、通信の整合性確認など、幅広い用途で利用されています。
人、運用、テクノロジーは、多層防御によるネットワークセキュリティを実現する重要な要素です。ビジネスを脅かすリスクを特定・評価することで、自社に必要なネットワークセキュリティ対策を判断できます。これには、境界セキュリティに採用すべきテクノロジーの種類、ファイアウォールアラートへの対応、侵入の検知・防御、ログ管理などが含まれます。ここでは、まずファイアウォールについて説明します。
ファイアウォールは、25年以上にわたりネットワークやエンドポイントに導入されてきた代表的なセキュリティ対策です。ファイアウォールでは、トラフィックを「許可する正当な通信」と「ブロックすべき不正な通信」のいずれかに分類します。パケットフィルタは、不要なトラフィックを排除する初期のファイアウォール方式の1つです。
その後、ベンダー各社がトラフィックを分析・分類するための多様な手法を開発し、ファイアウォール製品は進化を続けてきました。これには、初期のパケットフィルタ、次世代ファイアウォール(NGFW)、さらにはクラウドネイティブなファイアウォールまでが含まれます。
ファイアウォールが許可された通信のみを通過させ、それ以外を遮断する境界防御の役割を担うのに対し、IDPS(Intrusion Detection and Prevention System:侵入検知・防御システム)は、ネットワーク上の不正・異常な活動を監視し、セキュリティインシデントや潜在的な脅威を検知して、適切な対応を行います。
IDSは、不正または疑わしいトラフィックを検知し、ログやアラートとして通知することに主眼が置かれていました。しかし技術が進展する中で、「攻撃と明確に判断できる通信を、検知するだけで良いのか」「発見時点で即座に遮断すべきではないか」という課題が生まれました。
このニーズに応える形で進化したのがIPSです。IPSはネットワーク上の通信をリアルタイムに分析し、攻撃と判断したトラフィックをその場で遮断する 能動的(アクティブ)な防御 を実現します。ただし、誤検知(誤って正規トラフィックを遮断)や過検知(攻撃を見逃す)のリスクがあるため、適切なチューニングや運用が不可欠です。そのため現在では、多くの組織が IDSによるログ収集とアラート、SIEM(Security Information and Event Management)との連携、インシデント対応プロセス、専門チームによる運用管理 を組み合わせ、より確実なネットワーク防御体制を構築しています。
VPN(仮想プライベートネットワーク)は、ネットワークを通過するデータの機密性を保護するための技術です。VPNの中核となるのは暗号化であり、あわせて認証も使用されます。特に、ユーザがノートパソコンやスマートフォンからリモートでオフィスのネットワークに接続する場合に活用されます。VPNで一般的に利用される暗号化方式は主に次の3つです。
IPSec、SSL/TLS、SSH
これらの暗号化プロトコルは、VPN以外のアプリケーションでも広く利用されています。
IPSecは、ISO(国際標準化機構)のOSI参照モデルにおけるレイヤ3(ネットワーク層)で動作する暗号化プロトコルです。ネットワーク層で動作するため、データ・音声・動画などあらゆる種類のトラフィックを暗号化し、宛先に安全に届けることができます。したがって、IPSecを追加すると、暗号化された機密性の高い形式でデータが送信先に送られます。VPN以外の一般的な用途は、拠点間のサイト間接続です。
TLS(Transport Layer Security)はSSLの後継規格であり、1999年にNetscapeからIETFへ管理が移管された際に名称が変更されました。TLSはVPNだけでなく、Webブラウザを利用したあらゆるオンライン通信の暗号化を担う技術として広く使われています。銀行のオンラインバンキング、AmazonなどのECサイト、ブラウザで鍵アイコンが表示されるHTTPS通信は、いずれもTLSによって保護されています。
SSH(Secure Shell)は、主に1台のコンピュータから別のコンピュータへ安全にリモート接続するためのプロトコルです。ネットワーク管理者が、サーバ・ルータ・スイッチなどへ接続し、設定や監視を行う際に頻繁に利用されます。
管理された方法で顧客と共有したいコンテンツ(書籍、マニュアルなど)がある場合、DRM(デジタル著作権管理)は有効な解決策となります。DRMソフトウェアは、現代では多くの人々に身近な存在です。
たとえば、NetflixやAmazon Prime Videoの視聴、SpotifyやiTunesでの音楽再生では、DRM技術が利用されています。また、Kindleの電子書籍も、本の権利設定に応じて自由に共有できないよう保護されています。これはKindleアプリのDRM機能による制御です。
ユーザがクレジットカード番号などの機密情報を含むメールを誤って社外へ送信してしまうことを懸念する場合、DLP(データ漏洩対策)が解決策となります。
DLPツールは、組織から外部へ出るデータを監視し、機密情報が含まれる場合には送信をブロックします。適切な設定は容易ではありませんが、偶発的な情報漏洩を防ぐうえで非常に有用です。
すべての組織が導入すべき最も重要なセキュリティコントロールのひとつが「監視」です。攻撃・脅威・侵害などの兆候を常に監視することが不可欠です。セキュリティにおいては、「侵害は起こり得る」「ユーザは誤りを犯す」という前提に立ち、早期検知と迅速な対応が求められます。
多くの組織に共通する大きな問題は、「攻撃されていることに気付かない」という点です。そのため、システムやデバイスはイベントをログとして記録し、それらを中央のsyslogサーバへ送信して分析できるようにする必要があります。
この分析を担うツールがSIEMです。SIEMはログを相関分析し、IOC(侵害の痕跡)を検出する役割を持ちます。IOCが見つかった場合は、詳細を確認し、攻撃の阻止または事後復旧のための対応が必要かどうか判断します。