ネットワークアクセスを識別する

学習の目的

この単元を完了すると、次のことができるようになります。

アセットがネットワークにアクセスする方法を特定する。
人々がネットワークにアクセスする手段を説明する。
ネットワークアクセスを自動的に追跡することの重要性を説明する。

アセットとアセットによるネットワークアクセスについて学ぶ

銀行口座に入っている $1,000
国民識別番号
祖母からの電話
ラップトップ
携帯電話

このランダムなリストは何でしょうか? 実は、これらはすべてアセットなのです。攻撃者が盗難、破壊、または不正アクセスの対象として価値があると判断できるものは、すべてアセットです。自分が所有しているアセットを意識する必要があるのと同じように、ネットワークセキュリティエンジニアがネットワーク上のアセットを保護するためには、それらを意識する必要があります。通常、情報テクノロジー (IT) ではハードウェアやソフトウェア、たとえばラップトップ、携帯電話、ルーターやスイッチ、ワードプロセッシングソフトウェア、さらにこれらのツールで作成および保存されたデータなどをアセットと呼びます。

各アセットには、それぞれの脆弱性、脅威、そしてリスクがあり、ネットワークセキュリティエンジニアはそれらを意識する必要があります。ハッカーはどのようなアセットを欲しがっているのか、なぜ欲しがっているのか? 貴重なアセットに不正アクセスされたらどのような結果になるのか? その可能性はどのくらいあるのか? サイバー犯罪者は顧客の銀行口座からお金を盗もうとしているのかも知れません。顧客が 12345 のような弱いパスワードやオンラインで手に入る情報から簡単に推測できるパスワード (誕生日など) を使用している場合、顧客の口座は攻撃に対して脆弱であると言えます。ネットワークセキュリティエンジニアは、ハッカーの気持ちになって、ネットワークがどのように機能しているかだけではなく、ネットワークをどうやったら侵害できるかも理解する必要があります。

Jim が念願のマイホームをどうやって守っているかを考えてみましょう。Jim はドアや窓の鍵を開けっぱなしにしていますか? 警報システムを準備していますか? 宝石類、パスポート、現金、その他の貴重品は、ドアの近くのテーブルの上に出しっ放しにしていますか? それともベッドの下の金庫に保管していますか? あるいは銀行の貸金庫でしょうか? 貴重なアセットをどこに保管するかは、ネットワークトポロジーの概念に似ています。ネットワークトポロジーとは、貴重なアセットを保存するネットワークがどのように設計されているかを意味する言葉です。

たとえば、ラップトップをネットワークに接続する方法、ユーザーがデータを保存する場所、ネットワーク上の 2 つの場所を接続する場合の保護 (ファイアウォールなど) は、ネットワークトポロジーによって決まります。アセットがどこにあって何にアクセスできるかに応じて、同様のリスクを抱える項目をグループ化して、共有リソースの接続やワークフローを監視できます。

人々によるネットワークアクセス手段

ネットワークセキュリティエンジニアは、ネットワーク上のアセットと同じように、誰がネットワークに接続して何にアクセスしているかを識別します。職場での物理的なセキュリティについて考えてみましょう。建物の入口では、警備員が従業員の社員バッジを確認してから入館を許可します。来訪者は、受付で免許証などの身分証明書を見せて手続きをしたり、金属探知機を通ったりしなければ建物に入ることはできません。エレベーターでも、バッジをスキャンしなければ目的のフロアには行けません。従業員は、自分のユーザー名とパスワード、もしくは携帯電話などのデバイスに保存してある認証トークンを使用して、コンピューターにサインインします。会社のデータベースにアクセスするには、別のサインインが必要な場合もあります。

警備員は、建物に入る来訪者を、壁に取り付けられたセキュリティカメラで監視しています。

建物に入る人間を警備員の目視、ID チェック、バッジのスキャンで確認しているのと同じように、ネットワークセキュリティエンジニアは、どのユーザーがネットワークにアクセスしているかを把握し、コンピューティング環境へのアクセスを規制することが重要です。組織の規模によって、ネットワークセキュリティエンジニアは、ID およびアクセス管理チームと連携して、ネットワークアクセスアカウント (コンピューター、Wi-Fi、VPN などにアクセスするためのユーザー名とパスワードなど) を定義して管理することもできます。このチームとの連携によって、強力な認証手段 (モバイルデバイスからの別の検証コードの入力など) を使用したり、ネットワークアカウントにアクセスできる特権アクセスを持つユーザー (ネットワーク管理者やシステム管理者など) を定義したりすることもできます。

また、ネットワークユーザーによる脆弱性、脅威、そしてリスクも理解することが重要です。脅威は、サイバー犯罪者やハッカーだけではなく、不満を募らせた従業員など、悪意のある内部の人間からもたらされることもあります。これは「インサイダー脅威」として知られる概念です。ユーザーに関連する脆弱性は、適切なトレーニングを受けていない従業員がフィッシングメールをクリックしてしまった、あるいは解雇されて怒っているシステム管理者のログイン情報が無効化されていない、などの形で現れます。これらのユーザーがアクセスできるリソースが重要であるほど、会社のセキュリティにもたらす潜在的なリスクは大きくなります。

このリスクを減らすためにセキュリティプロフェッショナルが喚起している基本的な注意事項には、Need to Know と最小権限という概念があります。つまり、ユーザーには仕事に必要なリソースへのアクセスのみを許可し、必要な最小限の権限のみを付与するという考え方です。

たとえば、人事部門で新規採用の仕事に携わっている従業員であれば、通常はルーターのデバイス設定にアクセスする必要はありません。また、必要に応じてログイン情報やアクセス権を取り消すことも同じように重要です。そのため、従業員が会社を辞めたり他の役職に移ったりした時点でアクセスを終了するためのプロセスを用意しておく必要があるということです。ネットワークセキュリティエンジニアは、ネットワーク上のアセットとデータフローを認識し、これらのリソースへのユーザーアクセスを理解、管理、保護します。

習得度チェック

では、これまでに学んだ内容を復習しておきましょう。この習得度チェックは簡単な自己診断テストで、採点対象ではありません。左側の機能を右側の対応するカテゴリにドラッグしてください。全項目を結び付けたら、[送信] をクリックして習得度をチェックします。最初からやり直すには [リセット] をクリックします。

アセットや人々がどのようにネットワークにアクセスするかを理解したところで、次はネットワークアクセスの追跡について学習しましょう。

ネットワークアクセスを追跡する

これらのアセットやユーザーを追跡するのは大変ですが、容易に管理できる方法があります。規模が小さい組織のネットワークセキュリティエンジニアであれば、スプレッドシートなどの手作業での追跡メカニズムや、基本機能を備えた無料のツールでも、ネットワーク上のすべてのユーザーやアセットを識別するのに役立ちます。

これらのツールの多くは、Trailhead の「サイバーハイジーン」モジュールで取り上げられています。一方で、規模が大きくて複雑な会社では、これらのプロセスを自動化して、他のツールと統合することが重要です。そうすることで、認証されたデバイスとユーザーのみがネットワークと必要なリソースにアクセスできることを保証できます。

組織では、ネットワークへのアクセスをさまざまなツールで管理できます。

アクティブディスカバリーツールは、デバイスを見つけて、これらのデバイスの情報で組織のハードウェアアセットインベントリを更新します。
一方、パッシブインベントリツールは、ネットワークトラフィックログをスキャンして新しいデバイスを見つけます。そのため、デバイスの接続時にスキャンするアクティブディスカバリーツールよりもアセットの発見が遅くなる場合があります。
ネットワークアクセス制御 (NAC) ツールは、事前許可やセキュリティポリシーチェックなどのポリシーによってネットワークへのアクセスを制御します。たとえば、会社が支給したラップトップのみをネットワークに接続できるように NAC を設定できます。個人所有のラップトップをワークステーションの Ethernet ポートに接続しても、NAC はそのラップトップによるネットワークへの接続を許可しません。あるいは、個人所有のラップトップによるネットワークへの接続を許可する場合でも、すべてのパッチが適用された最新状態でなければ接続できないように設定することもできます。ラップトップに未適用の更新がある場合は、更新を適用してからでなければ接続することはできません。NAC の詳細と、望ましくないデバイスを検知してネットワークへのアクセスをブロックする方法については、後の単元で学習します。

まとめ

ネットワークにアクセスできるアセットとユーザーを識別するという重要なタスクを確認しました。次は、ネットワークを防御して、これらのアセットやユーザーによってもたらされるリスクを最小限に抑える方法を学習します。