ネットワークセキュリティの要諦

「悪意の内部ユーザー」へ対抗するファイアウォールの進化 - (page 3)

三輪 賢一(パロアルトネットワークス)

2014-10-27 07:00

 ゼロトラストモデルも2010年に提唱されましたが、これからのネットワークセキュリティに必要なことの概念としては同じことを言っています。米国の大手金融機関をはじめ、ゼロトラストモデルの必要性を感じて提唱された当初からネットワークセキュリティを切り替えた組織も多いのですが、日本でも大規模情報漏えい事件をきっかけにこのモデルへ移行する傾向が高まってきています。

悪意ある内部ユーザーへの対策

 善意、悪意によらず、その発生要因が内部ユーザーか外部ユーザーかにもよらず、上述のように内部ネットワークをゼロトラストモデルへ移行することで、担当者が職務に不必要な情報にはアクセスできないようにし、アクセス権のあるリソースへはいつ誰がどのアプリケーションを使ってやりとりをしたか行動監視し、さらに匿名でのアクションやセキュリティを回避するアプリケーションによって意図しないリソースへのアクセスがないかを洗い出せるようになります。リムーバブルメディアやカメラの利用など、ネットワーク以外にも物理的な制限をかける必要もあるでしょう。

 ネットワーク的な対策として他には、情報にアクセスできるユーザーに対して常に監視していることを分からせることも重要です。次世代ファイアウォールでは、ウェブ閲覧時や実行ファイルのダウンロード時に、URLフィルタリングやファイルブロッキングによって好ましくないリソースへのアクセスに対してブラウザ上に警告画面を出すという機能が使えます。

 また次世代ファイアウォールだけでなく、各種サーバへのアクセスログや他のネットワーク機器からのログを一元化し、リアルタイムな相関分析により脅威と思われる兆候を見つけるセキュリティ情報イベント管理(Security Information and Event Management:SIEM)ソフト の利用も対策として有効です。

 最後に、定期的なコンプライアンストレーニングにより、機密データにアクセスできる権限を持った人間が些細な動機で意図的に情報を漏えいすると重い懲罰を受けること、会社の存続が危うくなることを教育していくことも重要です。

 次回は情報漏えいの最後のパターン「外部ユーザーによる情報搾取」についてネットワークでの対策方法を解説します。

三輪 賢一
パロアルトネットワークス合同会社 外資系ネットワークおよびセキュリティ機器ベンダのプリセールスSEを15年以上経験。現在は次世代ファイアウォールおよびエンタープライズセキュリティを提供するパロアルトネットワークスでSEマネージャーとして勤務。主な著書に「プロのための図解ネットワーク機器入門(技術評論社)」がある

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]