ネットワークセキュリティの要諦

これからのネットワークのセグメント化Part2--必要なのはVLANではなくセキュリティゾーン

菅原継顕(Palo Alto Networks)

2013-12-16 07:30

物理的セグメントと論理的セグメント

 前回はネットワークセグメント化の利点をご紹介しました。今回はセグメント化の手法とセグメント化したネットワークに対するセキュリティについてお話したいと思います。

 ネットワークのセグメント化には物理的と論理的の2つの方法があります。例えば工場のネットワークは他の部門と離れている位置にある場合が多く、物理的にネットワークを分けやすい環境です。しかし医療現場では、事務系と医療系のネットワークは同じ場所に存在します。同じ場所に物理的に2つのネットワークを構築するには、ケーブル、ネットワーク機器、端末、サーバなどがそれぞれに必要になり導入コストが大きくなります。

 物理的にセグメント化したネットワークは、障害切り分けが容易になる場合がありますし、論理的なネットワークをハッキングされて乗り越えられるというリスクもなく、よりセキュアであると考えられています。しかしコストの問題から、物理的ではなく論理的にセグメント化している組織が増えています。

VLANだけでは不十分

 論理的にセグメント化する技術には歴史の長いVLANがあります。VLANは主に通信の混雑を避けるために導入されましたが、セキュリティのためにはVLANによるネットワークのセグメント化だけでは不十分です。

 通信を偽装して、本来アクセスできないはずの別のセグメントへアクセスするVLANの脆弱性を利用した攻撃も存在します。またスイッチを設定することで構築されたVLANでは、セグメント間の通信をIPアドレスやMACアドレスといったヘッダ情報によってアクセス制御するだけで、ネットワーク機器は情報の中身は見ていません。

 セグメント間で、どのようなトラフィックを許可して、どのようなトラフィックは制御するのかを決め、その通りに運用する必要があります。またそのトラフィックの中に脆弱性攻撃やマルウェアが含まれていないか検査する必要もあります。

 セグメント間のきめ細かいトラフィック制御のためには、ポートベースのファイアウォールは適していません。ポートやプロトコルベースの制御では可視性が十分でなく、必要なコントロールが効きません。ポートやIPアドレスだけでなく、どのアプリケーションによる通信か、どのユーザーやグループに関する通信かを識別および制御し、さらにアプリケーション上でやりとりされるファイルの検査までできる次世代のファイアウォールが適しています。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

  5. セキュリティ

    VPNの欠点を理解し、ハイブリッドインフラを支えるゼロトラストの有効性を確認する

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]