エンタープライズにおける
ネットワークでのセキュリティ対策

ビジネス推進本部 応用技術部
エンタープライズITチーム
砂田 晃徳

近年のサイバー攻撃の巧妙化・悪質化に伴い、エンタープライズネットワークでは、セキュリティを意識したネットワークをデザインしていくことが重要です。
本稿では、エンタープライズにおけるネットワークでのセキュリティ対策の必要性とそれを実現する技術・ソリューションについて紹介します。

情報セキュリティへの脅威拡大

近年、標的型攻撃、ゼロデイ攻撃、ランサムウェアなどにより、サイバー攻撃は巧妙化、悪質化し、その数も増加しています。また、セキュリティインシデントが発生してしまった時の企業への影響は、より甚大なものになってきています。
企業のデバイス環境では、モバイル端末やBYOD端末の利活用、IoTデバイスの登場などによりデバイスの多様化が進んでいます。
このような情報セキュリティを取り巻く環境の変化に対して、企業では更なるセキュリティの向上を図り、迅速なセキュリティ対応の仕組みを検討していく必要があります。今後のエンタープライズネットワークでは、セキュリティを意識したネットワークをデザインしていくことが重要になります。

ネットワークセキュリティ

企業では、ファイアウォールやIPS/IDSなどによる外部とのネットワーク境界でのセキュリティ対策やエンドポイントでのセキュリティ対策が行われてきました。それに加える形でネットワーク内部のセキュリティ対策を実施することで、企業のセキュリティを更に向上させることが可能です。

ネットワーク内部でのセキュリティ向上の要素として、次の3つの項目を挙げます。
1. ネットワークアクセスコントロール
2. トラフィック可視化とトラフィック分析
3. マルウェア検出/自動隔離

以降の章でこれらの詳細を説明していきます。

ネットワークアクセスコントロール

ネットワークが重要なインフラになっている現在、企業コンプライアンスや情報資産の安全な活用には、セキュリティポリシーに応じて『誰が』『何処にアクセス可能か』を適切に制御していく必要があります。ネットワークに接続するユーザーやデバイスを識別して、ネットワークへの接続を制御し、またそのユーザーがアクセス可能な範囲を適切に制御していくことが重要になります。
図1-80

図1 ネットワークアクセスコントロール
IEEE802.1X、MACアドレス認証、Web認証などで、従来からネットワークアクセスコントロールのソリューションは提供されてきました。
従来のソリューションでは、アクセス制限などのために実際のユーザーの通信を識別しようすると、IPアドレスやそのユーザーが所属するVLANなどの抽象的なものがユーザーを特定するための要素になるため、詳細なユーザーの識別や柔軟なアクセス制限が困難です。
ネットワークに接続するユーザーやデバイスを詳細に識別できれば、より効果的なネットワークセキュリティが実現可能です。近年では、認証情報や端末情報などのコンテキスト情報に基づいたIDベースの認証・管理製品が登場しています。
IDベースの管理では、認証情報やデバイス情報、OS、ネットワークへのアクセス方法などの複数の要素を組み合わせて、より詳細にユーザーとネットワークの利用環境を識別することが可能です。それによりユーザーの可視性や追跡性が向上します。また、その詳細なユーザー情報とセキュリティポリシーの集中管理により、柔軟なアクセス制御を実施できるソリューションも存在します。

適切なアクセスコントロールを実施するためにはネットワークのセグメント化も重要な要素になります。様々なユーザーやサービスが混在する企業ネットワークにおいて、セグメント化されていない単一のネットワークでは効率的なアクセス制御は困難です。
ネットワークを用途別に分けた複数のセグメントに分割し、その用途毎のネットワークに対してセキュアな境界を構築することで、適切なアクセス制御が実現可能です。不要なアクセスを防止することでセキュリティリスクの局所化に繋がります。
図2

図2 セグメンテーションとアクセスポリシー

トラフィック可視化とトラフィック分析

ネットワークの問題解決はネットワークを適切に可視化することから始まります。エンドツーエンドの通信を可視化して、『誰が』『何をしているか』を把握することが必要です。
セキュリティの観点では、インターネットなどの上下方向のトラフィックに加えて、端末間などの水平方向のトラフィックの可視化も重要です。水平方向のトラフィック可視化にはNetflowなどのフロー技術が有効です。最近ではエッジスイッチでもFlowに対応するようになり、より端末に近いポイントでの可視化が可能になっています。
図3

図3 フローによるネットワーク可視化
また、トラフィック可視化はセキュリティ以外でも情報を有効活用することが可能です。
ネットワーク利用状況、トラフィック傾向、アプリケーションパフォーマンスなど、自社のネットワーク内を把握することにより、どの部分を優先的に改善・変更するかなどの最適な投資を計画することができます。

マルウェア検出/自動隔離

マルウェア検出ソリューションでは、ネットワークの可視化に加えて、更にネットワーク内の”脅威”を可視化します。怪しい”ふるまい”をしている端末をリアルタイムに検出して、自動的にアクションを起こします。
検出時のアラートに加えて、対象端末を自動的にネットワークから隔離するソリューションも存在します。インシデント検知時に対象端末の通信を自動的に遮断します。この迅速な初動対応によりマルウェアの内部拡散を防止し、被害を極小化します。
図4

図4 マルウェア感染端末の自動隔離
マルウェア検出/自動隔離ソリューションは感染自体を防ぐものではありませんが、企業へのセキュリティ被害を極小化することが可能です。既存のセキュリティ対策に加えて実施することで、更なるセキュリティ向上に繋がります。
また、スペック上の制限などでエンドポイントセキュリティーを導入できないIoTデバイスなどに対しては特に有効なソリューションとなります。

まとめ

今日の情報セキュリティを取り巻く環境を考えると、企業にとって継続的なセキュリティ向上は不可欠です。ネットワークでのセキュリティ対策はそのための有効な手段の一つとなります。
本稿では、主に概要部分を説明し、詳細な技術解説や具体的なソリューションなどについては触れませんでしたが、関連するコラムの情報を以下の関連記事に記載しますので、もしご興味がありましたらご確認下さい。

関連記事

・Ciscoセキュリティを理解する!第2回 脅威の可視化、エンドポイントとネットワークで脅威を徹底的に追う!
https://www.netone.co.jp/report/column/column1/20161012.html

・ネットワークのセキュリティセンサー化のススメ1.ネットワークそのものをセンサーにする必要性
https://www.netone.co.jp/report/column/column1/20160916.html

・ネットワークのセキュリティセンサー化のススメ 2.高度化する攻撃に対応するためのフローの可視化
https://www.netone.co.jp/report/column/column1/20160930-2.html

・ネットワークのセキュリティセンサー化のススメ 3.センサーだけでは不十分?物理ネットワークでマイクロセグメンテーション
https://www.netone.co.jp/report/column/column1/20170106.html

・増え続ける無線LANデバイスに対する今後のセキュリティ対策
https://www.netone.co.jp/report/column/column1/20170303.html

・非管理デバイスに対するセキュリティ対策~可視化とコントロール~
https://www.netone.co.jp/report/column/column1/20171018.html

執筆者プロフィール

ネットワンシステムズ株式会社 ビジネス推進本部 応用技術部 ENT ITチーム
所属
ネットワンシステムズに入社し、エンジニアとしてパートナー/エンタープライズ/サービスプロバイダー顧客を担当する
現在は現部署に異動し、エンタープライズネットワーク関連を中心にフロント部門への技術支援に従事
・CCIE RS

以上

イベント/レポート

pagetop