ネットワークアセットとユーザーを保護する
学習の目的
この単元を完了すると、次のことができるようになります。
- ネットワーク上のアセットを防御する方法を説明する。
- ネットワークへのユーザーアクセスを防御する方法を説明する。
ネットワーク上のアセットを保護する
ネットワーク上のアセットを保護するには、脅威に対する警戒を怠らずに、転送中のデータや保存されているデータを保護することが鍵となります。以下のガイドラインに従うことで、デバイスとデータを保護して、攻撃者を遠ざけることができます。
-
アセットを識別する。以前に説明したように、防御手段を特定してアクションを優先づけるためには、ネットワークで最も重要なデータを識別することが必要です。ネットワークセキュリティエンジニアは、データストレージの場所を特定し、データ転送フローを理解して、ネットワークデータにアクセスすべきデバイスとアクセスすべきではないデバイスを管理します。
-
脅威を知る。誰が会社の機密情報を見たいのか、誰がネットワーク環境に不正な変更を加えたいのか、そして誰が機密データを盗みたいのかを理解することは、サイバー攻撃に対する防御に役立ちます。
-
弱点を最小化する。防御する必要があるアセットとそれらに対する脅威を識別したら、関連する脆弱性も特定する必要があります。デバイスのネットワークへの接続を許可する前に、脆弱性やマルウェアの確認が必要です。また、特に一般公開されているシステムでは、見つかった脆弱性へのパッチを直ちに適用する必要があります。ネットワークセキュリティエンジニアは、脆弱性スキャンチームやパッチ管理チームと連携して、ネットワークの弱点を最小限に抑えます。
-
デバイスの設定を予見的に保護する。ネットワークセキュリティエンジニアは、ルーターやスイッチなどのネットワークデバイスが攻撃に対して耐性を持つように、合意済みの設定に準拠していることを保証します。
-
ネットワークデバイスへの接続を保護する。ネットワークデバイスへのユーザーアクセスは、単にユーザー名とパスワードだけではなく、強力な認証 (モバイルデバイスと PIN といった、ユーザーが所有しているものとユーザーが知っていることを必要とする認証など) を使用して管理する必要があります。このような保護により、デバイスへの不正アクセスが困難になります。さらに、ネットワーク上の攻撃者が通信を傍受できないように、これらのデバイスへのアクセスは暗号化する必要があります。暗号化はデータをコードに変換し、鍵なければコードを解読してデータにアクセスできないようにします。
-
転送中のデータと保存されているデータを保護する。ネットワークデバイスへの接続を暗号化することに加えて、保存されているデータや転送中のデータも暗号化して、不正アクセスから防御することが重要です。特にリモートワークに関連して転送中のデータを防御する手段の 1 つは、仮想プライベートネットワーク (VPN) を使用することです。VPN は、公開インターネットのようなセキュリティレベルの低いネットワーク上で、暗号化された安全な接続を確立します。
送受信接続の制御
ネットワーク上で送受信されるデータのフローを情報スーパーハイウェイに例えて考えてみましょう。実際のハイウェイでは、料金所、交通警察、さらにはスピード違反を取り締まるためのカメラやヘリコプターなどによって交通整理が行われています。ハイウェイが国境を越える場合は、国境パトロールのチェックポイントもあります。
同様に、ネットワーク上を流れるトラフィックにも監視と制御が必要です。ファイアウォールなどのツールは、事前に定められたセキュリティルールに基づいてネットワークの送受信トラフィックを制御します。次世代のファイアウォールは、個人識別情報 (PII) や米国の社会保障番号といった特定種別のデータをフィルタリングして、不適切な抜き出しを防止することもできます。不要なインターネットアクセスをブロックするようにデバイスを設定すれば、ユーザーが悪意のある Web サイトからマルウェアをダウンロードしてしまったり、機密データを持ち出してオンラインで投稿してしまったりするリスクを最小限に抑えることができます。また、コンピューティング環境を監視して、ハッカーがユーザーの機密データに不正アクセスするために利用できてしまう有害な Wi-Fi アクセスポイントを検知する必要があります。そして、ユーザーのデバイスからの接続を、承認されたアクセスポイントに制限します。Bluetooth ヘッドセットなど、安全ではない可能性のあるワイヤレス機器へのアクセスもブロックできます。さらに、Center for Internet Security Controls の推奨に従って、各システムでは必要なポートとプロトコルのみを有効化することで、デバイスやネットワークへの不正アクセスを防止します。ネットワークには多くのエントリポイントがあります。ネットワークセキュリティエンジニアは、組織のセキュリティチームと連携して、すべてのポイントを監視して防御します。
ネットワークへのユーザーアクセスを保護する
アセットの保護は、セキュリティというパズルのほんの 1 つのピースに過ぎません。ネットワークセキュリティエンジニアは、ネットワークと関連リソースへのユーザーアクセスも防御します。ネットワークセキュリティエンジニアが意識すべき防御メカニズムは次のとおりです。
アクセス制御システムを使用して未認証のアクセスをブロックする
建物のアクセス制御システムとなるのは、建物への不正侵入を防止する鍵です。そして論理的なアクセス制御となるのは、コンピューターネットワークやシステムファイルなどへの接続を制限するシステムです。ユーザーを識別 (ユーザーの身元を確認) して認証 (ユーザーが申請しているとおりの身元であることを検証) し、リソースへのアクセスを承認 (ユーザーが表示/編集できるように) します。ユーザーが仕事用のラップトップにログオンしてユーザー名とパスワードを入力すると、認証されて承認済みのリソースにアクセスできるようになります。
可能な限り強力な認証を使用する
強力な認証とは、単にユーザー名とパスワードだけではなく、より強力な手段によってネットワークへのアクセス権を検証することを意味します。デフォルトから変更されていないパスワード、12345 のような弱いパスワード、ユーザーの SNS などで公開されている個人情報から推測できるパスワード (誕生日など) は、攻撃者に悪用されてしまいます。通常、強力な認証ではユーザーが知っていること (PIN など) とユーザーが所有しているもの (カードや携帯電話など) を使用して ID を検証します。多くの人は、銀行にログインしたときに携帯電話にテキストメッセージでコードが送られて来て、そのコードを入力してログインした経験があると思います。攻撃者がこの認証方法を破るためには、ユーザー名とパスワードを知っていることに加えて、携帯電話にアクセスして送られて来たコードを取得しなければなりません。そのため、ユーザー名とパスワードだけの場合と比べて高いレベルの防御が実現します。
特権アカウントには特別な注意を払う
特権アカウントでは、ネットワークデバイスの設定変更、データベースの管理、ソフトウェアのインストールなど、非特権ユーザーが実行する必要がない管理機能を実行できます。これらのアカウントは高度なアクセス権を持つため、攻撃者が特権アカウントに不正アクセスできてしまうと、被害がさらに大きくなります。Gartner は、セキュリティプロフェッショナルが特権アカウントを管理して防御するのに役立つ各種ハードウェアツールとソフトウェアツールに関する情報を提供しています。これらのツールでは、管理者はユーザー名とパスワード、そして携帯電話に送られて来た認証トークンを使用して別のソフトウェアプラットフォームにログインし、管理パスワードを使用して、機密データベースからのデータのエクスポートといった機能を実行します。この管理パスワードは時間制限のあるセッションで 1 回しか使用されず、セッション全体が監視されます。これにより、従来のユーザー名とパスワードだけの認証より高いレベルのセキュリティが実現します。
ユーザー権限は定期的に見直す
ネットワークセキュリティエンジニアは、ユーザーが知る必要のある情報に基づいてリソースへのアクセスを制御し、これらの権限を定期的に見直します。これにより、攻撃面が制限され、未認証のユーザーがネットワークに不正アクセスできたとしても、アクセスできるリソースが限定されます。たとえば、ハッカーが人事部門の従業員のアカウントに不正アクセスしても、そのアカウントを使用して顧客の財務レコードにはアクセスできないようにする必要があります。さらに、権限を定期的に見直すことで、プロジェクトが終了した、役職が変わった、あるいは退職したなどの理由で必要なくなったリソースにユーザーがアクセスできる状況が放置されなくなります。これらの手順は、アクセスのプロビジョニングと同じくらい重要なのですが、軽視されがちです。
一元化された動的アクセス管理ソリューションを使用する
アクセス管理ソリューションは、ユーザーアクセスの制御と監視に役立つツールです。一元化されたポリシーを使用して、個別のファイルやリソースにアクセスできるユーザーをネットワーク管理者が確認できるようにします。また、各リソースにアクセスしたユーザーを管理者が監査できるようにします。ハッカーがアカウントに不正アクセスした場合でも、ネットワークセキュリティエンジニアはハッカーが何を表示して何を変更し、何を盗み出し、何を破壊したかを簡単に特定して、侵入による影響を評価できます。あるいは、悪意のあるインサイダー (解雇されたばかりの従業員など) が会社の重要な機密文書を個人の USB にダウンロードしたとします。アクセス管理ソリューションを使用して従業員のアカウントを監視していれば、どの文書にアクセスしたかをすぐに特定して、影響を抑えることができます。
習得度チェック
では、これまでに学んだ内容を復習しておきましょう。この習得度チェックは簡単な自己診断テストで、採点対象ではありません。左側の機能を右側の対応するカテゴリにドラッグしてください。全項目を結び付けたら、[送信] をクリックして習得度をチェックします。最初からやり直すには [リセット] をクリックします。
よくできました。これらの活動と制御を総合的に活用することで、ネットワークの防御に役立ちます。大規模な組織では、これらの活動の多くは、ネットワークセキュリティエンジニアではなく別のチーム (ID およびアクセス管理を扱うチームなど) の担当である場合があります。それでもネットワークセキュリティエンジニアは、ユーザーがネットワークのリソースやデバイスにどのようにアクセスしているかを認識する責任を持ちます。小規模な会社であれば、これらのタスクの多くはネットワークセキュリティエンジニアの日々の仕事の一部となるでしょう。
リソース
- External Site: CIS Critical Security Control 6: Access Control Management (アクセスコントロール管理)
- External Site: CIS Critical Security Control 15: Service Provider Management (サービスプロバイダー管理)