私はこれまで15年ほど、 アンチウイルス、UTM、次世代ファイアウォールなどの分野で情報セキュリティに関わってきました。2013年9月より渡米し、パロアルトネットワークスの米国本社でプロダクトマーケティングを担当しています。本連載では、ネットワークセキュリティを専門とする国際企業の米国本社で得られた経験と見識、海外から見た日本のセキュリティ事情、セキュリティに関する提案などをお伝えしていきます。
今回はネットワークの話をしたいと思います。セキュリティには大きく分けてネットワークレベルのセキュリティとアプリケーションレベルのセキュリティがあります。SNSを利用した攻撃や未知のマルウェアへの対策などアプリケーションレベルのセキュリティの重要性が増していますが、土台となるネットワークのセキュリティも変わらず重要です。
今回から2回にわたってセキュリティの為のネットワークのセグメンテーションについて紹介したいと思います。まず1回目ではセグメントの目的についてです。2回目では今までのセグメンテーションでは何が足りないのか、本来のセグメンテーションはどうあるべきかをお話しします。
ネットワークセグメンテーションとは
文字通りネットワークセグメンテーションとは、ネットワークをセグメント化(分割)することです。ネットワークセグメンテーションと聞いて、「すでにVLANなら使っている。なにをいまさら」と思われたかも知れません。そもそもVLANはネットワークを分割することによりネットワークの混雑を避けるために導入されました。セキュリティの強化はあくまで副次的なものです。外(インターネット)は危険、中(組織内)は安全と認識されていたためです。しかし企業内個人がターゲットとなる攻撃も増えていますし、内部犯行による情報流出も考えられます。これからは「セキュリティの為のセグメンテーション」という考え方が必要です。
セグメント化のメリットを知るためにセグメント化しない場合を考えてみたいと思います。1つの組織でネットワークが1つの場合、そのネットワークに、すべての部署がつながり、子会社や関連企業がつながります。契約社員や来客も同じネットワークです。
接続するデバイスは多様化していて、デスクトップやノートPCだけではなく、 タブレットやスマートフォンなどのモバイルデバイスも組織のネットワークにつながります。モバイルデバイスは組織が所有するモノだけではなく、個人として所有するデバイスも含まれます。これは私物端末の業務利用(BYOD)と呼ばれ、組織として禁止するのか、奨励するのか、受け入れる場合セキュリティをどう確保するのかが多くの組織で課題になっています。
また組織では経理、特許、事業計画、社員情報、顧客情報など業務上の機密がほぼすべて電子化されネットワーク上に置かれています。
これらの人、デバイス、情報が1つのネットワークにあると、なにかセキュリティ上の問題が起こった場合、すべてに影響を与えます。投資でよく言われるリスクを分散させた方がよいという格言「卵は1つのカゴに盛るな」は、セキュリティにも当てはまると言えるでしょう。
ネットワークを分割することにより、攻撃対象が全組織からセグメント単位になります。万が一外部から侵入されてしまった場合でも、そのセグメントだけの影響にとどまり影響が少なくなるのです。
