編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方
ネットワークセキュリティの要諦

これからのネットワークのセグメント化Part2--必要なのはVLANではなくセキュリティゾーン

菅原継顕(Palo Alto Networks)

2013-12-16 07:30

物理的セグメントと論理的セグメント

 前回はネットワークセグメント化の利点をご紹介しました。今回はセグメント化の手法とセグメント化したネットワークに対するセキュリティについてお話したいと思います。

 ネットワークのセグメント化には物理的と論理的の2つの方法があります。例えば工場のネットワークは他の部門と離れている位置にある場合が多く、物理的にネットワークを分けやすい環境です。しかし医療現場では、事務系と医療系のネットワークは同じ場所に存在します。同じ場所に物理的に2つのネットワークを構築するには、ケーブル、ネットワーク機器、端末、サーバなどがそれぞれに必要になり導入コストが大きくなります。

 物理的にセグメント化したネットワークは、障害切り分けが容易になる場合がありますし、論理的なネットワークをハッキングされて乗り越えられるというリスクもなく、よりセキュアであると考えられています。しかしコストの問題から、物理的ではなく論理的にセグメント化している組織が増えています。

VLANだけでは不十分

 論理的にセグメント化する技術には歴史の長いVLANがあります。VLANは主に通信の混雑を避けるために導入されましたが、セキュリティのためにはVLANによるネットワークのセグメント化だけでは不十分です。

 通信を偽装して、本来アクセスできないはずの別のセグメントへアクセスするVLANの脆弱性を利用した攻撃も存在します。またスイッチを設定することで構築されたVLANでは、セグメント間の通信をIPアドレスやMACアドレスといったヘッダ情報によってアクセス制御するだけで、ネットワーク機器は情報の中身は見ていません。

 セグメント間で、どのようなトラフィックを許可して、どのようなトラフィックは制御するのかを決め、その通りに運用する必要があります。またそのトラフィックの中に脆弱性攻撃やマルウェアが含まれていないか検査する必要もあります。

 セグメント間のきめ細かいトラフィック制御のためには、ポートベースのファイアウォールは適していません。ポートやプロトコルベースの制御では可視性が十分でなく、必要なコントロールが効きません。ポートやIPアドレスだけでなく、どのアプリケーションによる通信か、どのユーザーやグループに関する通信かを識別および制御し、さらにアプリケーション上でやりとりされるファイルの検査までできる次世代のファイアウォールが適しています。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]