2回に分けて、ネットワークの防御とエンドポイントの防御について、それぞれの重要性について考えてみたいと思います。今回は、ネットワークの防御についてお話しします。
ネットワークの防御のポイント
サイバーセキュリティには「境界防御」という考え方があり、これは内部と外部を隔てる「壁」をイメージすると分かりやすいでしょう。ネットワークのセキュリティの基本は境界防御です。ファイアウォールはその代表です。ネットワークの境界に設置して外部の脅威が内部に侵入するのを防ぐのが主な目的です。ファイアウォールだけでなく、ルーターに搭載されているNAT(ネットワークアドレス変換)も一種の境界防御になります。明示的に開放されたポートに宛てた通信以外を、ルーターのNAT機能が破棄するためです。
最近では情報漏洩の防止の観点から、外部から内部への通信だけでなく、内部から外部への通信を監視することの重要性が高まっています。マルウエアに感染した端末が、攻撃者の管理する指令サーバー(コマンド&コントロールサーバー)に接続する場合には、内部から外部への通信が発生するため、従来のファイアウォールやNAT機能では十分な防御ができないケースも増えてきました。そこで最近では、パケットの中身を詳細にチェックしたり、攻撃に一致する通信パターンをブロックしたりするような、高度なネットワークセキュリティ機器も利用されています。
エンドポイントの防御との関係
ネットワークの防御が重要である一つの理由は、仮にエンドポイントが攻撃者に掌握された場合でも、ネットワークレベルで攻撃をブロックすることができれば、被害の拡大を防止できる点にあります。また、エンドポイントのログが改ざんされても、ネットワークレベルでログを残すことで、証拠の保全にもつながります。もう一つ重要な点は、最近はIoT機器(ネットワークカメラやインターネットにつながる家電など)が増え、これらも攻撃の対象となっています。こうした機器には、セキュリティソフトなどをインストールすることが難しいため、ネットワークの境界での防御が有効となります。
ただし、仮にUTM(統合脅威管理)機器などを導入してネットワーク境界でマルウエアの侵入を防ぐ体制を構築したとしても、USB経由の感染やアドホックな無線LAN通信など、想定されるネットワークの境界を通らないマルウエアの侵入は防ぐことができません。また、UTMを通過した時点ではマルウエアとして認知されていないものが、後にマルウエアの定義に追加されることもありえます。そのため、ネットワークの防御とエンドポイントの防御は必ず併存させるべきだといえるでしょう。
ネットワークの境界でのチェックが過度になると、結果として通信速度の低下を招き、さらにはセキュリティ機器の不具合が原因で障害が発生する可能性もあります。重要なことは、すべてのセキュリティをネットワーク境界に集約するのではなく、エンドポイントのセキュリティを同時に強化し、エンドポイント側のセキュリティとバランスを取ることです。
次回は、エンドポイント側のセキュリティについて考えてみたいと思います。
The Business Infosec 