ネットワーク・セキュリティを適切に行うために必要な10のこと

ネットワーク・セキュリティとは何か？

ネットワーク・セキュリティには、データとネットワークの完全性、機密性、可用性を保護するための対策が含まれる。不正アクセスや脅威からリソースを確実に保護する。これには、ソフトウェア・ツール、ハードウェア・デバイス、およびプロセスを使用して、不正な行為から保護することが含まれる。これらのツールを使用することで、組織はデータ伝送の制御を維持し、侵害を防止し、サイバー攻撃による潜在的な損害を軽減することができる。

ネットワーク・セキュリティは多層的なアプローチである。進化する脅威や現代のハイブリッド環境のダイナミックな性質に対応できる柔軟性が求められます。構成要素には、ファイアウォール、マルウェア対策システム、行動分析、暗号化技術などがあります。これらが連携することで、脅威を迅速に検知、防止、対応することができる。

一般的なネットワーク・セキュリティの脅威

マルウェアとランサムウェア

マルウェアには、ウイルス、ワーム、トロイの木馬など、ネットワーク・インフラに侵入して損害を与えるさまざまな悪意のあるソフトウェアが含まれます。このような悪意のあるコードは、システムの脆弱性を悪用することが多く、不正アクセスを許したり、システム障害を引き起こしたりします。マルウェアの一種であるランサムウェアは、ユーザーのファイルを暗号化し、アクセスを回復するために身代金を要求します。

このような攻撃は、身代金を支払うか、バックアップからシステムを復旧させるまで、業務を停止させ、組織を麻痺させる可能性がある。マルウェアやランサムウェアに対する防御には、多面的なアプローチが必要です。これには、検出と除去のためのウイルス対策ソフトウェアの採用、脆弱性にパッチを当てるための定期的なシステム・アップデートの実施、すべてのデータの安全なバックアップの確保などが含まれる。

これは情報セキュリティに関する一連の記事の一部である。

フィッシング攻撃

フィッシング攻撃とは、ユーザーを欺いてパスワードやクレジットカード番号などの機密情報を漏えいさせるソーシャル・エンジニアリングの手口です。これは多くの場合、正当なエンティティを装った詐欺的な電子メールや悪意のあるウェブサイトを通じて行われます。フィッシングは人間の心理を巧みに利用し、信頼できると思わせることで、ユーザーをだまして機密情報を提供させようとします。

フィッシング・リスクを軽減するためには、真正なコミュニケーションと詐欺的なコミュニケーションを見分けるためのユーザー教育が必要である。電子メール・フィルターや電子メール・セキュリティ・ソリューションを導入することで、フィッシング・メールがユーザーに届く前に特定し、ブロックすることができる。組織は、多要素認証を実施し、さらなるセキュリティ・レイヤーを追加する必要がある。

サービス拒否（DoS）攻撃

サービス拒否（DoS）攻撃は、不正なトラフィックでネットワークを圧倒することで、サービスの可用性を妨害することを目的としています。これらの攻撃は、システムの遅延や完全なシャットダウンを引き起こし、正規ユーザーによるリソースへのアクセスに影響を与えます。DoS攻撃は多くの場合、ウェブサーバー、クラウドサービス、重要なインフラを標的とし、サービスのダウンタイムを引き起こします。

DoS攻撃を撃退するには、帯域幅管理戦略とトラフィックフィルタリングメカニズムが不可欠です。ネットワークの冗長性と分散ネットワーク・アーキテクチャを導入することで、影響を吸収し緩和することができます。侵入検知システムは、DoS攻撃パターンを早期に特定し、阻止することができます。大規模な攻撃に対しては、クラウドベースのDDoSミティゲーション・サービスを利用することで、大量の悪質なトラフィックを吸収しつつ、正当なトラフィックを通過させることができます。

内部脅威

インサイダーの脅威とは、組織内でネットワークへのアクセスを許可されている個人による悪意ある活動を指します。このような脅威は、意図的な場合も偶発的な場合もあり、不満のある従業員、企業スパイ、人為的なミスなど、あらゆるものが原因となります。インサイダーの脅威は、これらの個人が特権的なアクセス権を持っていることが多いため、その活動を追跡することが難しく、ユニークな課題をもたらします。

組織は、内部脅威を軽減するために、厳格なアクセス制御を実施し、内部ユーザーの活動を監視する必要があります。ユーザー権限を定期的に見直し、調整することで、機密データへの過剰なアクセスを防ぐことができます。行動分析ツールを使用することで、通常とは異なる活動にフラグを立て、タイムリーな介入を可能にします。

高度な持続的脅威（APT）

高度な持続的脅威（APT）とは、ステルス性のあるネットワーク攻撃であり、権限のないユーザーがアクセスし、長期間にわたって検知されない状態を維持するものです。APTは長時間の監視とデータ抽出を目的としており、多くの場合、重要なインフラや機密情報を標的としています。このような高度な攻撃には高度な技術とスキルが必要であり、多くの場合、国家に支援されたハッカーが関与しています。

APTの複雑さには、プロアクティブかつレイヤー化された防御戦略が必要である。包括的なモニタリングと異常検知システムにより、疑わしい行動を早期に特定することができます。定期的なセキュリティ評価と侵入テストは、悪用される前に脆弱性を明らかにします。脅威インテリジェンス・サービスは、新たなAPTの戦術やテクニックに関する洞察を提供します。

ネットワーク・セキュリティに不可欠な10の要素

1.アクセス制御と認証

アクセス・コントロールと認証は、ネットワーク・リソースへの不正アクセスを防止するための重要な要素である。アクセス・コントロールの仕組みは、情報を閲覧または使用できるユーザを制限し、認証はユーザの身元を確認する。これらの制御を組み合わせることで、組織は、許可された個人だけが機密データやシステムにアクセスできるようにすることができます。

強力なパスワード・ポリシーの設定、生体認証の採用、役割ベースのアクセス制御（RBAC）の実装は、一般的なプラクティスである。さらに、ユーザーのアクセスや行動をログに記録し、監視することは、異常の検出に役立ちます。

2.ファイアウォールと次世代ファイアウォール

ファイアウォールは、送受信されるネットワーク・トラフィックを制御するバリアとして機能する。従来のファイアウォールは、事前に定義されたセキュリティ・ルールに基づいてトラフィックをフィルタリングしますが、次世代ファイアウォール（NGFW）はデータ・パケットをより深く検査することで、これらの機能を拡張します。NGFWは、侵入防御やアプリケーション認識などの追加機能を統合し、ネットワーク保護を向上させます。

NGFW を導入するには、組織のセキュリティ・ポリシーを反映したルールを構成する必要がある。これらの戦略には一般的に、アプリケーション・コントロール、ユーザー・アイデンティティ管理、高度な脅威防御が含まれる。更新されたルール・セットとリアルタイムのモニタリングを維持することで、進化する脅威に対する有効性が向上します。

詳しくは、ネットワーク・セキュリティ・ファイアウォールの詳細ガイドをご覧ください。

3.侵入検知防御システム（IDPS）

侵入検知・防御システム（IDPS）は、潜在的に有害なネットワーク活動を検知し、阻止します。これらのシステムは、ネットワーク・トラフィックを分析し、有害な行為や侵害の兆候を特定し、管理者に警告を発したり、疑わしいトラフィックを自動的にブロックします。侵入をリアルタイムで検知し、即座に対処することで侵入を防止します。

よく調整された IDPS システムは、正当なトラフィック・パターンを認識し、誤検知を最小限に抑えるよう注意深く設定されなければならない。一貫した更新と継続的な監視により、高度で未知の脅威に対する能力を向上させることができる。IDPS の導入は、既存のセキュリティ・フレームワークを補完する。

4.セキュリティ情報・イベント管理（SIEM）

セキュリティ情報とイベント管理（SIEM）システムは、ネットワーク・ハードウェアとアプリケーションによって生成されたセキュリティ・アラートのリアルタイム分析を提供します。さまざまなソースからのログ・データを集約し相関させることで、SIEM システムは潜在的なセキュリティ脅威や運用の非効率性に関する洞察を提供し、全体的なインシデントの検出と対応能力を向上させます。

SIEMを効果的に導入するには、既存のITインフラとの統合と、誤検知を最小限に抑えるための継続的なチューニングが必要です。SIEMは、日常的なセキュリティ・タスクを自動化し、高度な脅威検出アルゴリズムを提供することで、リソースの使用を最適化することができます。

5.行動分析とモニタリング

行動分析とモニタリングは、基本的なユーザーの行動を分析することで異常を検出します。このアプローチでは、不正なデータアクセスや無意識のうちにインストールされたマルウェアなど、セキュリティ侵害を示す可能性のある異常な行動を特定します。早期に脅威を検知し、より迅速な対応と潜在的なリスクの軽減を可能にします。

User and Entity Behavioral Analytics (UEBA）は、機械学習モデルを使用して過去のデータから学習し、ネットワークにアクセスする各ユーザーまたはエンティティについてベースラインを確立し、これらのベースラインから重大な異常を特定します。これらのシステムを既存のセキュリティ・フレームワークと統合することで、高度な脅威や新たな脅威を特定する能力が向上します。

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

私の経験から、ネットワーク・セキュリティの強化に役立つヒントを紹介しよう：

1. ゼロ・トラスト・アーキテクチャ（ZTA）の活用：いかなるエンティティ（ネットワーク内外）も自動的に信頼されないゼロ・トラスト・モデルを導入する。ID認証、エンドポイントのヘルスチェック、最小権限のアクセスポリシーを動的に実施します。
2. ハニーポットと欺瞞技術の使用：攻撃者を引き付け、その活動を監視するために、おとりシステムやファイルを配備する。これらのツールは、攻撃者の戦術に関する貴重な洞察を提供し、防御の改善に役立ちます。
3. DNSセキュリティの優先：DNSインフラを保護し、悪意のあるドメインをブロックし、データ流出の試みを検知する。脅威検出戦略の一環として、DNSフィルタリングを採用し、異常なDNSクエリパターンを監視する。
4. 厳格な脅威探索プログラムの確立：ネットワーク内の脅威をプロアクティブに探索することで、事 前対策にとどまらない。脅威インテリジェンス、高度な分析ツール、攻撃行動フレームワーク（MITRE ATT&CKなど）をチームに装備する。
5. 機密性の高いワークロードにはマイクロセグメンテーションを採用：マイクロセグメンテーションを使用して、ネットワークを粒度の細かい分離されたセグメントに分割する。論理的な境界を作ることで、攻撃者は横方向の移動においてより多くの障害に直面することになる。

6.仮想プライベートネットワーク（VPN）

仮想プライベート・ネットワーク（VPN）は、公衆ネットワーク上に安全で暗号化された接続を作成し、データを傍受から保護します。この技術は、リモートユーザーを企業ネットワークに安全に接続し、安全でないインターネット接続を介して安全なデータ伝送を可能にするために一般的に使用されています。VPNはデータを暗号化し、転送中の機密性と完全性を保証します。

VPNを確立するには、強力な暗号化プロトコルと安全な認証方法を使用し、不正アクセスから保護する必要があります。

7.ネットワークのセグメンテーションとマイクロセグメンテーション

ネットワーク・セグメンテーションとは、ネットワークをより小さく分離されたセグメントに分割し、アクセスを制限して攻撃対象領域を減らすことである。論理的な境界を作ることで、組織はセグメント間のトラフィックの流れを制御し、機密データや重要なシステムを安全性の低いエリアから確実に隔離することができる。例えば、ユーザーのワークステーションをサーバー環境からセグメンテーションすることで、侵害が発生した場合に機密リソースへの不正アクセスを防ぐことができる。

マイクロセグメンテーションは、ワークロードやアプリケーションレベルできめ細かいポリシーを適用することで、このアプローチをさらに推し進める。大規模なネットワークセクションをセグメント化する代わりに、マイクロセグメンテーションは個々のワークロードやデバイスを分離する。これにより、横方向の動きを最小限に抑え、攻撃者が複数のシステムを侵害することをより困難にする。Software-Definedネットワーキング（SDN）とゼロトラスト原則を採用することで、マイクロセグメンテーションの有効性が高まり、最新のハイブリッド環境のきめ細かなセキュリティが確保される。

8.暗号化されたトラフィックの検査

TLS 1.3のようなプロトコルが主流になり、暗号化が普及するにつれ、今日ファイアウォールを通過するトラフィックの80%近くが暗号化されている。暗号化はデータの機密性を保護する一方で、トロイの木馬攻撃でTLSで保護されたC2サーバーからペイロードがダウンロードされる場合のように、攻撃者が悪用できる死角を生み出す。組織はしばしば中間者（MITM）検査やSSL/TLS復号化プロキシを使用して、暗号化されたトラフィックがエンドポイントに到達する前に脅威がないか分析します。

MiTM 検査は、マルウェアの検出、データ流出の防止、コンプライアンス・ポリシーの実施、ネッ トワークの可視性の向上に役立つ。トラフィックを復号化することで、侵入防御システムやデータ損失防止ソリューションなどのセキュリ ティ・ツールは、そうしなければ隠されていたコンテンツを分析することができる。しかし、このアプローチには大きな欠点がある。プライバシーの問題が生じたり、規制要件に違反したり、復号化キーの取り扱いを誤るとセキュリティ・リスクが生じたりする。トラフィックの復号化と再暗号化は待ち時間を増やし、処理要求を増大させるため、性能の低下も問題である。TLS 1.3のような一部の暗号化プロトコルは、パッシブな復号化機能を制限しているため、組織は検査戦略の適応を余儀なくされる。さらに、MiTM 検査を行っている組織はごく一部である。なぜなら、MiTM 検査は多くのものを「壊す」原因となり、サービスの中断を引き起こすからである。ファイアウォール・ベンダーは一貫して、SSL と TLS トラフィックの MiTM 検査を行う必要があると説いている。なぜなら、より強力なファイアウォールが必要になるからである（費用の増加を考えてほしい）。

バランスの取れたアプローチには、機密データのプライバシーを維持しながらリスクの高いトラフィックを選択的に復号化すること、暗号化されたコンテンツを検査する前にゼロトラスト原則を使用してユーザーを検証すること、脆弱性を最小限に抑えるセキュアなプロキシ・ソリューションを導入することなどが含まれる。暗号化標準が進化するにつれて、組織はコンプライアンスとセキュリティを確保しながら可視性を維持するために、検査方法を継続的に調整する必要があります。

9.マルウェア対策

マルウェア対策ソフトウェアは、悪意のあるコードからネットワークを保護するのに役立ちます。これらのプログラムは、悪意のあるソフトウェアをスキャンして識別し、ウイルス、ワーム、マルウェア、スパイウェアからの保護を提供します。通常、シグネチャベースの検出、ヒューリスティック、機械学習を採用し、脅威が被害を引き起こす前に特定し、排除します。

最大限の保護を実現するために、企業はアンチウイルスおよびアンチマルウェア・ソリューションを常に最新の状態に保ち、新たな脅威に対する最新のシグネチャを確保する必要があります。定期的なシステム・スキャンや、行動分析などの代替戦略を導入することで、新しいマルウェアの亜種を検出することができます。

10.データ損失防止（DLP）

データ損失防止（DLP）戦略は、不正なデータアクセスやデータ送信を防止することに重点を置いています。DLPテクノロジーは、ネットワーク上のデータ移動を監視・制御し、機密情報が故意または偶然に漏えいしないようにします。これは、情報の完全性を維持し、データ保護規制を遵守するために極めて重要です。

DLPを導入するには、機密データのカテゴリーを特定し、それらを保護するポリシーを作成する必要がある。これらのポリシーは、データへのアクセス、移動、共有を管理する必要があります。DLPツールを使用することで、企業は厳格なセキュリティ対策を実施し、潜在的なデータ漏えいを検出することができます。

ネットワーク・セキュリティとネットワーク・モニタリング

ネットワーク・セキュリティは、不正アクセス、攻撃、侵害からネットワークを保護することに重点を置いています。その主な目的は、ファイアウォール、侵入防止システム（IPS）、暗号化などのツールを導入することで、悪意のある活動を防止することです。セキュリティ対策は、データやサービスの機密性、完全性、可用性を確保するために、脅威を積極的にブロックまたは軽減します。

ネットワーク・モニタリングとは、ネットワークのパフォーマンスとアクティビティを継続的に観察・分析することである。その目的は、異常、ボトルネック、潜在的な障害をリアルタイムで特定することです。モニタリング・ツールは、帯域幅の使用状況、デバイスのステータス、ネットワーク・トラフィックに関するデータを収集し、最適なパフォーマンスを維持するための洞察を提供するとともに、セキュリティ上の脅威を示す可能性のある異常なパターンを検出します。

これらの対策は、それぞれ異なるものではあるが、重複している。例えば、ネットワーク・モニタリングは、異常なトラフィックの急増や不正なデータ転送など、セキュリティ侵害の兆候を早期に検出し、ネットワーク・セキュリティ対応に反映させることができます。両方のアプローチを統合することで、プロアクティブな保護とネットワークの健全性に関するリアルタイムの可視性を組み合わせた強力な防御が保証されます。

ネットワーク・セキュリティの5つのベストプラクティス

組織は、以下のベスト・プラクティスを実施することで、ネットワーク・セキュリティを強化することができる。

1.定期的なソフトウェアとセキュリティのアップデート

既知の脆弱性からネットワークを保護するためには、定期的なソフトウェアとセキュリティのアップデートが重要です。継続的なアップデートにより、システムやアプリケーションが特定された脅威に対して強化されます。ベンダーは、脆弱性を修正し、セキュリティ対策の改善を強調し、ソフトウェアの安定性を高めるパッチを頻繁にリリースします。

組織は、更新プロセスを簡素化するパッチ管理戦略を導入すべきである。可能であれば更新を自動化することで、人的ミスのリスクを低減し、タイムリーな展開を実現する。更新の重要性についてスタッフを教育することで、セキュリティ意識の文化を醸成することができる。

2.従業員研修と意識向上プログラム

ネットワーク・セキュリティの強化には、従業員のトレーニングと意識向上プログラムが不可欠です。一般的なサイバー脅威と安全なコンピューティング方法について従業員を教育することで、フィッシングや不注意によるデータ漏洩などのリスク要因を軽減することができます。十分な知識を持った従業員は、不審な行動を迅速に特定し、報告する能力を備えています。

セキュリティワークショップやシミュレーションを定期的に実施することで、トレーニングの目的を強化することができる。組織は、脅威の状況に合わせてプログラムを調整し、進化する脅威を反映して定期的に内容を更新する必要がある。すべての組織レベルでセキュリティ中心の考え方を奨励することにより、組織の防御力は大幅に向上する。

3.多要素認証（MFA）の導入

多要素認証を導入することで、ネットワーク・リソースにアクセスする前に、ユーザーに複数の認証形式の提示を要求し、セキュリティを強化することができます。MFAは、漏洩の恐れがあるパスワードだけでなく、セキュリティのレイヤーを追加することで、不正アクセスのリスクを大幅に低減します。

組織は、すべての機密性の高いアプリケーションやシステムにMFAを採用すべきである。生体認証やハードウェア・トークンを統合することで、より安全でユーザーフレンドリーな認証プロセスを実現できる。

4.定期的なセキュリティ評価と監査の実施

定期的なセキュリティ評価と監査は、潜在的な脆弱性を特定し、セキュリティポリシーの遵守を確保する上で極めて重要である。ネットワーク構成、セキュリティ対策、アクセス制御を定期的に見直すことで、組織は弱点を発見し、事前に対処することができる。

第三者の専門家を監査に参加させることで、セキュリティ態勢に関する公平な洞察を得ることができる。評価後、組織は特定された脆弱性の是正とセキュリティ・プロトコルの更新を優先すべきである。

5.インシデント対応計画の策定とテスト

インシデント対応計画の策定とテストは、組織がセキュリティ侵害に対処するための準備となる。構造化された計画は、対応時間を短縮し、被害を最小限に抑え、迅速な復旧を支援する。この計画には、インシデントを封じ込め、修復するための責任、コミュニケーション戦略、緩和手順が概説されています。

シミュレーションや訓練を通じてこれらの計画を定期的にテストすることで、準備態勢と有効性が確保される。教訓を計画の更新に反映させることで、将来の事故に対する回復力を高めることができる。

エクサビームNetMonで環境全体をすばやく可視化

ネットワーク・モニタリングは、サイバー攻撃の検知、無効化、復旧においても重要な役割を果たします。SOCチームは、これらの脅威を検出し、適切なフォレンジック調査を行い、監査をサポートし、運用上の問題を特定するために、組織のネットワークを完全に可視化する必要があります。NetMonは、セキュリティスタックに強力なレイヤーを追加します。ネットワーク・インフラストラクチャのアプライアンスまたは仮想マシンとして、あるいは Exabeam 導入のアドオンとして利用できる NetMon は、次世代ファイアウォール、侵入検知システム/侵入防御システム（IDS/IPS）、その他の一般的なネットワーク機器よりも詳細なネットワークの可視性を提供します。

市場をリードするアプリケーション認識、ネットワークとアプリケーションデータにわたるスクリプトベースの分析、集中シナリオベースの分析のための豊富なデータにより、高度な脅威を検出します。NetMonダッシュボードを活用して、ネットワーク・トラフィックを即座にキャプチャ、分析、記録し、ネットワークに関する強力で洞察に満ちた情報を提供します。さらに、Deep Packet Analytics (DPA) を使用すれば、さらに詳細な調査が可能です。DPAは、NetMonディープパケットインスペクション（DPI）エンジンに基づき、PII、クレジットカード情報、ポートやプロトコルの不一致、その他の重要な侵害指標（IOC）を即座に認識するなど、ネットワークトラフィックを解釈します。DPAは、事前に構築されたルール・セットとカスタム・ルール・セットを使用して、完全なパケット・ペイロードとメタデータに対する継続的な相関を可能にし、フローとパケット・レベルでのアラームとレスポンスに対するかつてない制御を提供します。DPAルールにより、SOCはこれまで手作業によるパケット分析によってのみ可能であった脅威検知を自動化することができます。

ファイアウォール・データ、ネットワーク・モニタリング、ユーザー・アクティビティ、自動検知を連携させることで、Exabeamはセキュリティ・チームにアラートを超えた実用的なインテリジェンスを提供し、より迅速で正確な脅威の検知、調査、対応（TDIR）を実現します。

NetMonについてもっと知る