セグメンテーションと代替コントロールを使用してネットワークを保護する
学習の目的
この単元を完了すると、次のことができるようになります。
- ネットワークセグメンテーションを使用する場合を識別する。
- どのような場合に代替コントロールを使用するのかを説明する。
ネットワークセグメンテーションを使用する
地元の銀行のセキュリティを想像してください。銀行のカウンターには出納係が少額の取引に対応するための現金が少しだけ置かれており、多額の現金や他の貴重品 (家宝や出生証明書など) は、通常は建物内の鍵が掛かった金庫室内の金庫に保管されていて、警備員が巡回し、ゲートと警報で守られています。
多額の現金を人目に付く場所に放置するような銀行には、誰も貴重品を預けようとは思いません。それと同じように、ネットワークも複数の防御ラインで保護することが重要です。ネットワークセキュリティエンジニアは、多層防御戦略の一環としてネットワークセグメンテーションを使用します。
ネットワークセグメンテーションは、物理制御と論理制御によってネットワークを分割し、価値やリスクが類似しているアセットをまとめて保管して防御します。不正アクセスのリスクが高い高価値のアセットは、より強力な防御で囲み、多くのネットワークユーザーがアクセスできる低価値のアセットから離して保管されます。
この数年、ネットワークセグメンテーションを採用する傾向が強くなり、セグメンテーションを容易にするための高度なツールセットも開発されています。従来のネットワーク保護は、信頼できないゾーンと信頼できるゾーンという概念を中心にしていました。ネットワークは信頼できるゾーンと見なされ、認証されたユーザーとアセットが大半のリソースにアクセスでき、システムとデータの間には保護や障壁はほとんどありませんでした。
ネットワークを保護する主な手段は、主にファイアウォールを使用した強力な境界防御でした。これは、正面ドアに頑丈な鍵を掛けて警備員が出入りを監視するという銀行のセキュリティと同じであり、いったん誰かが中に入ってしまえば、ほぼ無防備になります。
ハッカーは、ネットワークに侵入するための最も簡単な方法を見つけようと試み、侵入に成功した後は、権限を昇格させて最も重要なデータを盗み出します。そのため、現在の高度なセキュリティ組織は、境界以外でも防御を充実させています。高価値のアセットにはさらに厳重な防御が施され、データはより安全になっています。これにより、ハッカーがネットワークに侵入できても、会社の機密データにアクセスできる可能性は低くなっています。この概念は「ゼロトラスト」と呼ばれ、ネットワークセグメンテーションによって実装できます。Google では、社内の IT 環境の防御に役立つように、このゼロトラストの実装に関するホワイトペーパーを作成しています。このホワイトペーパーでは、この概念を利用して、ネットワーク境界を越えてデータを保護する方法を説明しています。
ネットワークセグメンテーションの重要性を示す現実の例があります。2013 年に、大手の小売企業が大規模なデータ侵害の被害を受けました。ハッカーが機密データにアクセスできた理由の 1 つは、同社のエンジニアが、重要なカード支払いデータを扱うシステムを、ネットワークの他の部分と適切に分離していなかったことです。
まずハッカーは、サードパーティベンダーから盗み出したログイン情報を使用して同社のネットワークに侵入しました。そして、検知されないままネットワーク内を動き回り、同社の POS (販売時点情報管理) システムにマルウェアを仕込むことで、顧客の支払い情報を盗み出すことに成功したのです。
この例は、ネットワークをセグメンテーションすることで、不正アクセスしたポイントから重要なシステムへの未承認アクセスを困難にしておくことの重要性を示唆しています。また、サードパーティベンダーのセキュリティを監視することや、ネットワークにリモートアクセスする際には強力な認証を使用することの重要性も示唆しています。ネットワークを適切にセグメンテーションして防御できなかったことで、同社は数百万ドルの損害を被り、多くの顧客が影響を受けました。そして何よりも、同社の評判が傷ついてしまったのです。
代替コントロールを使用する
完璧な世界なら、セキュリティプロフェッショナルはすべての防御を実装し、会社のアセットを攻撃者から完全に防御できるでしょう。しかし、人生の他の側面と同じように、実際にはいろいろな制約やトレードオフに直面しています。たとえば、最新のテクノロジーを購入したり古いシステムをアップグレードしたりするための予算が足りないかも知れません。もしくは、ネットワークを 365 日 24 時間監視するための人員が不足しているかも知れません。あるいは、最高情報責任者 (CIO) が、ゼロトラストネットワークやアプリケーションにアクセスするための強力な認証など、最先端の防御を実装することの重要性を最高財務責任者 (CFO) に納得させるだけの力を持っていないかも知れません。
理想的なセキュリティ防御を導入できない場合は、代替コントロールを実装して文書化する必要があります。これはベストプラクティスであるだけではなく、多くの場合は規制への準拠要件でもあります。
主コントロールを実装できない場合、ネットワークセキュリティエンジニアは、代替コントロールを実装することで、リスク管理に役立つ同等レベルの防御を実現します。これは永続的なソリューションではなく、理想的なテクノロジーソリューションが導入されるまでは、代替コントロールの使用について定期的に文書化して見直す必要があります。たとえば、重要なシステムに重大な脆弱性が見つかっても、すでにベンダーがパッチの提供を終了しているために、脆弱性にパッチを適用することができない場合があります。これは、Microsoft 2003 Server をベースとしたシステムでは現実に起こり得る話です。すでに Microsoft は 2015 年にサポートを終了しているからです。この場合、まだサポートされている新しいモデルにサーバーをアップグレードできれば理想的です。それができない場合、セキュリティチームはシステムをオフラインにして、ネットワークで厳重に防御されている部分にセグメンテーションします。こうすることで、公共インターネットから脆弱性が悪用されるリスクを最小限に抑えることができます。残りのリスクは、代替コントロールを配置して管理します。セキュリティチームは、ビジネスチームと連携して、まだベンダーがパッチを提供している新しいサーバーにシステムをアップグレードするための計画、リソース、そしてタイムラインを検討する必要があります。
習得度チェック
では、これまでに学んだ内容を復習しておきましょう。この習得度チェックは簡単な自己診断テストで、採点対象ではありません。下部の単語欄から段落の適切な場所に単語をドラッグしてください。すべての単語を配置したら、[送信] をクリックして習得度をチェックします。最初からやり直すには [リセット] をクリックします。
ネットワークセグメンテーションと代替コントロールを使用して重要なシステムを保護する方法を学習しました。では、ハッカーが弱点を見つけてネットワークに侵入した場合、ネットワークセキュリティエンジニアはどうやって検知するのでしょうか? それは次のセクションで学習します。
リソース
- 外部サイト: Payment Card Industry Data Security Standard (支払いカード業界のデータセキュリティ標準)
- 外部サイト: NIST Framework for Improving Critical Infrastructure Cybersecurity (重要なインフラストラクチャのサイバーセキュリティを改善するための NIST フレームワーク)