物理的セグメントと論理的セグメント
前回はネットワークセグメント化の利点をご紹介しました。今回はセグメント化の手法とセグメント化したネットワークに対するセキュリティについてお話したいと思います。
ネットワークのセグメント化には物理的と論理的の2つの方法があります。例えば工場のネットワークは他の部門と離れている位置にある場合が多く、物理的にネットワークを分けやすい環境です。しかし医療現場では、事務系と医療系のネットワークは同じ場所に存在します。同じ場所に物理的に2つのネットワークを構築するには、ケーブル、ネットワーク機器、端末、サーバなどがそれぞれに必要になり導入コストが大きくなります。
物理的にセグメント化したネットワークは、障害切り分けが容易になる場合がありますし、論理的なネットワークをハッキングされて乗り越えられるというリスクもなく、よりセキュアであると考えられています。しかしコストの問題から、物理的ではなく論理的にセグメント化している組織が増えています。
VLANだけでは不十分
論理的にセグメント化する技術には歴史の長いVLANがあります。VLANは主に通信の混雑を避けるために導入されましたが、セキュリティのためにはVLANによるネットワークのセグメント化だけでは不十分です。
通信を偽装して、本来アクセスできないはずの別のセグメントへアクセスするVLANの脆弱性を利用した攻撃も存在します。またスイッチを設定することで構築されたVLANでは、セグメント間の通信をIPアドレスやMACアドレスといったヘッダ情報によってアクセス制御するだけで、ネットワーク機器は情報の中身は見ていません。
セグメント間で、どのようなトラフィックを許可して、どのようなトラフィックは制御するのかを決め、その通りに運用する必要があります。またそのトラフィックの中に脆弱性攻撃やマルウェアが含まれていないか検査する必要もあります。
セグメント間のきめ細かいトラフィック制御のためには、ポートベースのファイアウォールは適していません。ポートやプロトコルベースの制御では可視性が十分でなく、必要なコントロールが効きません。ポートやIPアドレスだけでなく、どのアプリケーションによる通信か、どのユーザーやグループに関する通信かを識別および制御し、さらにアプリケーション上でやりとりされるファイルの検査までできる次世代のファイアウォールが適しています。