ネットワークセキュリティ対策を知る

学習の目的

この単元を完了すると、次のことができるようになります。

  • 一般的なネットワークセキュリティ戦略を説明する。
  • 一般的なネットワーク保護手法を説明する。

ネットワークセキュリティ戦略

コンピュータネットワークを保護するには、ネットワークセキュリティ戦略が必要です。ネットワークセキュリティプロフェッショナルは、セキュリティの目的を特定し、セキュリティリスクを評価し、それらのリスクを軽減する方法を決定する必要があります。組織は、ネットワークを保護しつつ十分なパフォーマンスと使いやすさを提供できるように、セキュリティ戦略とそれに伴うポリシーや手順を定義する必要があります。セキュリティに対する責任は全員にあるため、CEO から受付係やベンダーまで、組織全体に対してセキュリティ計画についてのトレーニングを行うことが重要です。 

セキュリティ戦略には、ポリシー、適用、監査/評価という 3 つの側面があります。セキュリティポリシーでは、組織のテクノロジと情報アセットに誰がそして何がアクセスできるかを定義する枠組みを定めます。また、各ユーザのセキュリティ責任も定めます。セキュリティポリシーは、定義された後も確定ではありません。アセット、要件、テクノロジ、リスクは時間と共に変化するため、セキュリティポリシーを定期的に更新する必要があります。

ネットワークセキュリティエンジニアの仕事と同じように、2 人の警備員が建物の前に立って、入館を管理することによって建物内部の人々を保護しています。

セキュリティポリシーの実装方法を定義するセキュリティ手順を用意することに加えて、ポリシーの適用方法についても理解する必要があります。ファイアウォール、ユーザ認証、ネットワークのセグメンテーション、仮想プライベートネットワーク (VPN)、暗号化はすべて、セキュリティポリシーを適用するために一般に使用される手法です。

セキュリティポリシーの実装と適用が完了すると、システムの監査と評価の作業が開始されます。監査/評価計画では、ネットワークが侵害されたかどうかや現在攻撃を受けているかどうかを判断するために何をどのように監視する必要があるかを定義します。また、侵害が発生した場合の適切な対応と修復についても、この計画で定める必要があります。

習得度チェック

では、これまでに学んだ内容を復習しておきましょう。この習得度チェックは簡単な自己診断テストで、採点されるものではありません。下部の単語欄から段落の適切な場所に単語をドラッグしてください。すべての単語を配置したら、[送信] をクリックして習得度をチェックします。最初からやり直すには [リセット] をクリックします。

順調ですね。ネットワークセキュリティ戦略の開発には、入念な計画が必要ですが、時間と労力をかける価値があります。次に、ネットワークを保護する方法を見てみましょう。

一般的なネットワーク保護手法

多くの対策を講じるほど、侵入者がネットワークの防御を侵害できる可能性は低くなります。コンピュータシステムを攻撃者から守るためのいくつかのオプションを確認しましょう。

ユーザ、デバイス、ソフトウェアが業務やニーズに関連するネットワークアセットのみにアクセスできるように、適切なアカウント権限を設定します。これは、最小権限の法則と呼ばれ、知る必要がある場合にのみアクセスを許可するものです。つまり、営業部門で働く人は給与レコードにアクセスする必要はないのです。

デフォルトパスワードは、狙われやすいネットワークの脆弱性であるため、絶対に使用しないようにします。デフォルトパスワードがそのままであったために多くのシステムが侵害されました。ユーザに、パスワードを定期的に変更すること、パスワードを再使用しないこと、強力なパスワード (文字、数字、特殊文字などの組み合わせを含む長いパスワード) を作成することを義務付けます。さらに、ネットワークユーザがアカウントごとに一意のパスワードを作成するようにトレーニングします。そうすることで、1 つのアカウントがハッキングされても攻撃者は同じパスワードを使用してそのユーザの他のアカウントにアクセスすることはできません。

ファイアウォール

ファイアウォールをインストールして有効にします。ファイアウォールとは、正当なアクセスを許可しつつ、コンピュータネットワークへの不正なアクセスを防ぐように設計された保護デバイスです。物理的な障壁、ハードウェアデバイス、ソフトウェアを組み合わせて、保護ファイアウォールレイヤを形成します。

暗号化

暗号化はデータを保護します。送信中のデータを暗号化することで、傍受者が機密情報を取得することを防ぎます。さらに、保存されているデータも暗号化します。そうすることで、攻撃者がシステムを侵害しても、データを復号化する方法を知らないため、有用な情報を得ることができません。

VPN

追加の保護レイヤとして VPN (仮想プライベートネットワーク) を使用します。VPN は、公開ネットワークでデータを送信するセキュアなプライベートネットワークで、コンピュータデバイスはプライベートネットワークに直接接続されているように機能します。VPN では、ネットワークデータを保護するためにネットワーク接続が暗号化されます。 

ネットワークセグメンテーション

ネットワークセグメンテーションを実装します。ネットワークセグメンテーションでは、ネットワークを分割して、価値やリスクが類似するアセットを個別に保護します。そうすることで、ネットワークのいずれかのセグメントが侵害されても、攻撃者はネットワークの他のセグメントには到達できません。

マルウェア対策ソフトウェア

リアルタイムのシステム分析を提供してマルウェアの予防、検出、削除を行うマルウェア対策ソフトウェアを実行します。

セキュリティ侵害に関する知識

主要なセキュリティ侵害を把握し、ソフトウェアとファームウェアを最新の状態に保つことで、マルウェアや攻撃者が既知の脆弱性を利用できないようにします。データ侵害の多くは、コンピュータシステムに適切にパッチが適用されていれば防止できたものでした。

SIEM の使用

コンピュータシステムを一元管理するソリューションとしてセキュリティ情報イベント管理 (SIEM) ソフトウェアを使用します。SIEM ソフトウェアは、システムの異常な活動を監視して、考えられる攻撃についてアラート通知できます。

バックアップ

定期的にデータをバックアップし、バックアップに保存されているデータが適切であることをテストします。そうすることで、ランサムウェアによってデータが損害を受けても、身代金を払わずにデータを復元できます。

ここでは、ネットワークセキュリティの知識を習得し、ネットワークセキュリティエンジニアが日々の役割の中で何について考え、何に取り組んでいるかを学習しました。次の「Network Security in Practice (実際のネットワークセキュリティ)」モジュールでは、彼らの業務についてさらに詳しく学習します。

サイバーセキュリティ関連情報の詳細に関心がある方は、Trailhead のサイバーセキュリティの学習ハブを参照してください。 

リソース