ネットワークセキュリティとは?

ネットワークセキュリティとは、内部ネットワークを安全に保つための幅広い技術と実践を指します。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • 「ネットワークセキュリティ」の定義
  • ネットワークセキュリティの主なリスクについて説明する
  • ネットワークのセキュリティ対策について説明する

記事のリンクをコピーする

ネットワークセキュリティとは?

ネットワークセキュリティとは、内部ネットワークを攻撃やデータ漏えいから保護するための実践と技術のカテゴリーです。これは、アクセス制御、サイバー攻撃からの保護、マルウェア検出、その他のセキュリティ対策を包含します。

「ネットワークセキュリティ」は、大規模な企業ネットワークの保護を指すことがほとんどです。(小規模ネットワークの保護については、LANとは?およびルーターとは?を参照してください)。

ネットワークの定義

ネットワークとは、2つ以上のコンピュータ機器が接続されてできたグループのことです。ネットワークの規模は、小規模なパーソナルエリアネットワーク(PAN)やローカルエリアネットワーク(LAN)から、大規模なワイドエリアネットワーク(WAN)(小規模なネットワークを広域に接続したもの)までさまざまです。

従業員がインターネットにアクセスするためのLANであったり、さまざまな拠点間を結ぶWANであったり、あるいはクラウドでこれらの機能を実行するNetwork as a Service(NaaS)など、現在、ほぼすべての企業が生産性を上げるために何らかのネットワークに依存しています。

一般的なネットワークセキュリティのリスクとは?

ビジネスで使用する他の重要な資産と同様に、ネットワークも様々な形で危険にさらされる可能性があります。備えるべき脅威には以下のものがあります:

  • 不正アクセス:不正なユーザーがネットワークにアクセスした場合、本来であれば非公開であるのはずの機密情報を閲覧される可能性があります。また、機密データを漏えいさせたり、内部システムが侵害される可能性もあります。
  • DDoS攻撃:分散サービス妨害(DDoS)攻撃とは、ネットワークやサーバーをジャンクトラフィックで氾濫させ、正当なユーザーに対してサービスの遅延、拒否を発生させることを目的としたものです。DDoS攻撃は、ネットワークを過負荷状態にしてネットワークが機能しなくなるようにします。
  • 脆弱性の悪用:攻撃者は、ログインポータル、アプリケーション、ハードウェアなどの脆弱性を利用して、さまざまな悪意のある目的でネットワークに侵入します。
  • マルウェア感染:一般的なマルウェア感染には、データが暗号化または破壊されるランサムウェア、ネットワーク全体に素早く複製されるマルウェアであるワーム、攻撃者によってユーザーの行動が追跡されるスパイウェアなどがあります。マルウェアは、安全でないWebサイト、感染した従業員の端末、外部からの標的型攻撃など、さまざまなソースからネットワークに侵入する可能性があります。
  • 内部脅威:社内の従業員や契約社員がセキュリティのベストプラクティスを知らない場合、意図せずにネットワークの安全性を損なわせたり、データを流出させてしまうことがあります。また、ユーザが自分の都合で意図的にネットワークを侵害したり,データを漏えいさせたりする場合もあります。

ネットワークセキュリティの重要な技術とは?

ネットワークセキュリティは幅広い分野です。以下は、組織がネットワークを保護するために使用できる技術のほんの一部です。複雑さを軽減するため、多くの企業はネットワークセキュリティに関してできるだけ少ない数のベンダーを利用するようにしています。多くの企業は、これらの技術のいくつかをまとめて提供しているベンダーを探しています。

アクセス制御

アクセス制御とは、データやそのデータを操作するためのソフトウェアへのアクセス権を制限するものです。不正アクセスを防止し、内部脅威のリスクを低減するためには極めて重要です。IDおよびアクセス管理(IAM)のソリューションは、この分野に役立ちます。多くの企業は、仮想プライベートネットワーク(VPN)を使用してアクセスを制御しています。しかし、現在ではVPNに代わる方法が存在しています。

ユーザー認証

アクセス制御において、認証(ユーザーIDの検証)は非常に重要な要素です。単純なパスワードの代わりに二要素認証(2FA)を使用することは、ネットワークの安全性を高めるための重要な措置となります。

ファイアウォール

ファイアウォールは、ネットワークトラフィック上の潜在的な脅威をフィルタリングするもので、マルウェア攻撃、脆弱性の悪用、ボットによる攻撃、その他の脅威をブロックすることができます。従来のファイアウォールは、ハードウェア機器を使用して、企業内の物理的な場所で稼働しています。現在、多くのファイアウォールはソフトウェアまたはクラウドで動作するため、ファイアウォールのためのハードウェアは必要ありません。

DDoS攻撃対策

運用を継続するためには、Webサイトおよびネットワークインフラストラクチャの双方をDDoS攻撃から保護する必要があります。特に、ネットワークインフラストラクチャでは、アプリケーション層ではなく、ネットワーク層での DDoS軽減措置が必要です。

データ損失防止(DLP)

ファイアウォールやDDoS対策が外部からの攻撃からネットワークを守るのに対し、データ損失防止(DLP)は内部データの外部への持ち出しを阻止します。

ブラウザ分離

Webブラウジングをすると、外部の信頼できないソース(さまざまなウェブサーバーなど)のコードがユーザーの端末で実行させられるため、ネットワーク内からインターネットへのアクセスにはリスクが発生します。ブラウザの分離を使用すると、組織の内部ネットワークの外(多くの場合クラウドサーバー上)でコードが実行されるため、このリスクを排除します。

ネットワークの安全性を確保するために、企業がとるべき他の措置とは?

攻撃から完全に身を守ることは不可能ですが、次の措置を講じることでリスクをさらに軽減することができます:

データバックアップの維持:どれほど十分な防御を備えたネットワークでも、攻撃される可能性はあります。部分的またはすべての内部データおよびシステムにアクセスできなくなると、ビジネスに壊滅的なダメージを与えます。データのバックアップコピーを維持することは、このような攻撃の影響を軽減するために役立ちます。

ユーザー教育:多くのデータ漏えいやマルウェア感染は、安全でない電子メールの添付ファイルを誤って開いてしまったり、フィッシング攻撃の結果ログイン情報を提供してしまったり、その他の方法で外部からのアクセスを許可してしまったり、ユーザーの単純なミスによって発生します。社内の従業員や契約社員は、安全なネットワークを維持し、保護する方法を認識する必要があります。

「Zero Trust」の思想を取り入れる:Zero Trustセキュリティとは、デフォルトではどのユーザーやデバイスも信頼すべきでないという原則です。

Cloudflareはどのように企業ネットワークのセキュリティを保つのか?

  • Cloudflare Oneは、上記で取り上げたセキュリティ技術をすべて含む、ネットワークサービスとセキュリティ機能をバンドルした包括的な製品です。
  • Cloudflare Magic Transitは、OSI 参照モデルのレイヤー3(ネットワーク層)、レイヤー4(トランスポート層)、レイヤー7(アプリケーション層)のDDoS攻撃からネットワークを保護します。
  • Cloudflare for Teamsは、アクセス制御とエンドポイント保護のための製品群です。

現在、多くの企業ではネットワークのセキュリティに加え、クラウドコンピューティングリソースの保護も必要となっています。詳しくは、クラウドセキュリティの仕組みとは?をご覧ください。

ネットワーク層について