Zenn
株式会社プログデンス
🐕

ネットワーク環境とネットワークセキュリティの基本

akiyama
に公開
Security
network
脆弱性
tech

ネットワーク環境とネットワークセキュリティの基本

今回は、私たちの日常生活に欠かせないネットワーク環境と、それを守るためのセキュリティ対策について解説します。

ネットワークは現代のITシステムに欠かせない要素ですが同時に多くの脅威にさらされています。

そこで、どのポイントでどのような脅威が発生するのかを明確にして、効果的なセキュリティ対策をご紹介します。

1. ネットワーク環境とは?

まず基本的なところから始めましょう。
ネットワークとは、複数のコンピュータやデバイスをネットワーク機器で接続し、データを送受信できるようにした仕組みのことです。

簡単に言えば、コンピュータ同士がデータをやりとりするための通信網です。

1-1. ネットワークの種類を知ろう

ネットワークの種類は、主に「LAN」、「WAN」、「インターネット」、「イントラネット」の4つに分けられ、接続範囲や目的に違いがあります。

1-2. ネットワークを支える技術たち

ネットワークが正常に動作するためには、様々な技術が必要です。主要なものを見てみましょう。

1. ルーターとスイッチ
ルーター:異なるネットワーク同士を繋げる役割
スイッチ:同じネットワーク内でデバイス同士を繋げる役割

2. VPN(仮想専用ネットワーク)
VPNは仮想の「専用通信回線」です。インターネット上でデータをやり取りすると、第三者からハッキングされやすく、セキュリティリスクが高くなります。そこでVPNを使用することで、データ通信を暗号化でき、インターネット上で安全な通信を行うことができるのです。

3. ロードバランサ
ネットワークやシステムにかかる負荷を分散し、システム可用性を高める役割を果たします。

4. ファイアウォール
外部からの攻撃からネットワークを守る壁(ウォール)となります。具体的には許可していない通信を遮断し、悪意ある攻撃の侵入を防ぎます。

1-3. ネットワーク接続の仕組み

ネットワークの接続は以下の3つの要素によって実現されています。

1. プロトコル(TCP/IP)- 通信のルール
プロトコルとは、異なるコンピュータ同士(異なるメーカーのデバイス同士)が通信するための共通のルールです。代表的なネットワークプロトコルがTCP/IP(Transmission Control Protocol/Internet Protocol)で、異なるOSや機器間でも相互に通信できるようにパケット通信の手順を規定しています。

2. IPアドレス - インターネット上の住所
ネットワークに接続されているコンピュータには、IPアドレスの割り当てが必要となります。

  • グローバルIPアドレス:世界にひとつだけのアドレス
  • プライベートIPアドレス:特定組織内のネットワーク内で付与されるアドレス

3. OSI参照モデル
統一されていない異なるコンピュータやシステム間での通信では、異なるプロトコルや技術が混在し、複雑になっています。このネットワークの複雑さを整理してまとめたものがOSI参照モデル(Open Systems Interconnection Reference Model)です。複雑なネットワークを7つの層に分け、それぞれの階層での通信機能を定義しています。

2. ネットワークセキュリティとは

ネットワークセキュリティとは、不正アクセスやウイルスからネットワークを守るセキュリティシステムのことです。現代のデジタル社会において、これは非常に重要な要素となっています。

今回は以下3つの観点からネットワークセキュリティについてお伝えします。

  • セキュリティ対策が求められるネットワークの4ポイント(4か所)
  • クローズドネットワークとオープンネットワークごとに異なるセキュリティ対策の紹介
  • 主な脅威の詳細とその対策

2-1. セキュリティ対策が必要な4つのポイント

1. ネットワークの入口(ゲートウェイ)
入口にファイアウォール IPS/IDS UTMなどのセキュリティ機器を導入し、外部からの不正アクセスを防ぐ必要があります。

  • 代表的な脅威
    DDoS攻撃 脆弱性スキャン
    • 発生ポイント:外部からのアクセスがあるサーバーやネットワーク機器
    • 攻撃者がサーバーに大量のリクエストを送ってサービスを妨害したり、公開されている機器の脆弱性を狙ったスキャンや侵入が行われる。

2. 通信経路での脅威
通信経路における脅威は、情報漏洩やシステム停止など、様々な形でネットワークに影響を与える可能性があります。無線LANの不正アクセスポイントの設置等には注意が必要です。

  • 代表的な脅威
    盗聴 中間者攻撃(MITM)
    • 発生ポイント:ルーター~インターネット間、もしくは無線LANなどの通信路
    • 攻撃者がネットワークの通信内容を盗聴したり、通信を改ざんしたりすることで、情報漏洩 やなりすましが発生する。

3. 内部ネットワーク
内部ネットワークへの不正アクセス、マルウェア感染、データ改ざん、DDoS攻撃などのリスクがあります。内部不正による情報漏洩も発生しやすいため、アクセス権限の設定やログ監視を徹底する必要があります。

  • 代表的な脅威
    内部不正アクセス 情報漏洩
    • 発生ポイント:社内LANや接続された内部ネットワーク
    • 権限のあるユーザーによる意図的・偶発的な情報漏洩や、マルウェアが内部に入り込んだ際に、ネットワークを通じて他の端末にも感染する可能性がある。
       - 従業員による私物のモバイルWi-Fiルーターの持ち込みによる情報漏洩のリスク。

4. エンドポイント
パソコン、スマートフォン、タブレットなどのエンドポイントは、攻撃者から狙われやすい場所です。ウイルス対策ソフトや次世代アンチウイルスソフトの導入OSやアプリケーションのアップデートを徹底する必要があります。

  • 代表的な脅威
    マルウェア感染 フィッシング攻撃
    • 発生ポイント:エンドユーザーのPC・スマートフォン
    • ユーザーが悪意あるメールのリンクをクリックしたり、偽サイトにアクセスすることで、マルウェアに感染したり、認証情報を盗まれる。

2-2. ネットワーク2種ごとの対策方法

  • ネットワークセキュリティは、攻撃を防ぐ方法やアクセス制御によって、大きく2種類に分類されます。
    1. クローズドネットワーク
    外部からのアクセスを厳しく制限したネットワークです。例えば、社内専用サーバー、社内イントラネット、社内データベースなどがこれにあたります。

対策方法:
アクセス権限の設定や2段階認証による制限
USBメモリをはじめとする記憶媒体の利用制限
従業員への研修等によりセキュリティに関するリテラシーの向上

2. オープンネットワーク
比較的自由にアクセス可能なネットワークです。例えば、Webサイトやクラウド、オンラインサービス、公共Wi-Fiなどがこれにあたります。

対策方法の一例として・・・
社内と社外を隔てる従来型のネットワークセキュリティだけでなく、それぞれの端末・機器を保護するエンドポイントセキュリティを高めることが重要 ⇒ ゼロトラストモデルの考え方

  • アクセス制御
  • 不正アクセスの検知と防御(IDS(不正侵入検知システム)/IPS(不正侵入防御システム)の導入)
  • VLANなどによるネットワークのセグメンテーション

2-3. 主な脅威詳細とその対策

1. マルウェア/ランサムウェア
マルウェアは悪意のあるソフトウェアやプログラムの総称で、コンピューターウイルスワームトロイの木馬などが含まれます。特にランサムウェアは、データを不正に暗号化し、暗号化の解除と引き換えに身代金を要求する悪質なマルウェアです。

2. DoS攻撃/DDoS攻撃
Webサイトやサーバーに大量のデータを送りつけ、負荷を掛けることで正常な動作を妨げる攻撃です。
DoS攻撃:1台のコンピューターから攻撃
DDoS攻撃:複数のコンピューターから一斉に攻撃

3. フィッシング詐欺
正規の発信者を偽装したメールを送ったり、正規のWebサイトを模したページに誘導したりすることにより、アカウント情報やクレジットカード情報を窃取する手口です。

4. スパイウェア
コンピューターに不正侵入して利用者の個人情報や操作情報を監視し、情報を外部へ送信するプログラムです。

5. 有効な対策方法の一例

  • 1. マルウェア/ランサムウェア

  • 2. DoS攻撃/DDoS攻撃

  • 3. フィッシング詐欺

  • 4. スパイウェア

ここまで見てきたとおり、ネットワーク環境は非常に多くの要素で成り立っており、それぞれのポイントごとに異なる脅威が潜んでいます。

セキュアなシステム運用には、どこで何が起きているのかを把握し、それぞれに応じた対策を講じることが、不可欠となります。

そこでおすすめの対策方法として脆弱性診断があげられます。
以下で脆弱性診断の基本についてご案内します。

3. 脆弱性診断とは?

  • ネットワークやシステム、ソフトウェアなどに存在するセキュリティ上の弱点(脆弱性)を検出し、そのリスクを評価する診断のことです。診断することにより不正アクセスや情報漏洩などのリスクを未然に防ぐことを目的としています。

3-1. 脆弱性診断のメリット

さらに診断内容に応じて対策を行ったことによるメリット

3-2. 実施タイミング

  • 新規開発時、バージョンアップやシステム更新のタイミング
  • 定期的な診断(年に1~2回)

3-3. ネットワークにおける脆弱性診断_ネットワーク診断(プラットフォーム診断)

  • Nessus Professional

    • Tenable社が提供する商用の脆弱性スキャナーで、システム、ネットワーク、アプリケーションの脆弱性を検出するためのツールです。定期的なアップデートで新しい脆弱性情報に対応し、詳細な診断結果レポートが生成されます。
    • IPアドレスまたはFQDNで診断先を指定して診断を実施します。

  • Nmap(Network Mapper)

    • ネットワークのセキュリティスキャンと管理に広く使用されるオープンソースのツールです。ポートスキャン、稼働中のサービスやOSの識別などさまざまな機能を備えています。脆弱性スキャナであるNessusと組み合わせることで、より詳細な情報取得が可能となります。
    • 大規模ネットワークから単一のホストまで幅広く使用することが可能
    • 主な機能
      • ホスト検出
      • ポートスキャン
      • OS検出
      • サービス/バージョン検出
      • スクリプトエンジン

※※注意点※※
外部のネットワークに対してスキャン行為を行うことは不正アクセス禁止法等に抵触する恐れもあります。検証を行う際は、自身で検証環境などを用意して試すことが重要です!

次にこれらを踏まえた上で全体図としてのセキュリティ対策のポイントをお伝えします。

4. 総合的な対策のポイント

  • ネットワークセキュリティ対策は一つの手段で完結するものではなく「多層防御(Defense in Depth)」の考え方が重要となります。

    • 多層防御とは、複数のセキュリティ対策を組み合わせ、各層で攻撃リスクを軽減させる考え方。単一の対策では突破されやすい攻撃に対しても、多層防御によることで被害を最小限に抑えることができる。
    • 「2-3. 主な脅威詳細とその対策」で挙げた各対策のうち、どれか一つを実施すればよいということではなく、各対策を「入口」 「内部」 「出口」の3つの領域として捉え、複数の領域において防御層を設置することで、多層防御が実現される。
  • その他にできること!
    • 定期的なログの分析と監視を行う
    • 従業員へのセキュリティ教育を継続する

以上のとおり、ネットワークセキュリティでは、技術的な対策と人間の行動による対策とをバランス良く組み合わせることで、安全なネットワーク環境を構築・維持することが可能となります。

エンジニアとしては単に「通信ができる」だけではなく「安全に通信ができる」状態を目指し、設計・運用していくことが重要になります。

そこでネットワーク全体を横断的にチェックすることができる脆弱性診断を定期的に実施することが肝要です。事前に発見された問題に対して適切な対応を行うことで、安全で信頼性の高いネットワーク環境を維持しましょう。

皆さんも、日頃からセキュリティ意識を高く持ち、安全なネットワーク利用を心がけましょう!

株式会社プログデンス
株式会社プログデンス

株式会社プログデンス/BtoB向けのITソリューションを提供する企業です。 技術スタック: SASE / Prisma Access / Zscaler / Netskope / Cato Networks / Tanium / M365 / Cisco / Automation / Ansible

設定によりコメント欄が無効化されています