ネットワークセキュリティとは?

ネットワークセキュリティは、組織のデータ、ワークロード、およびクラウドインフラストラクチャを不正アクセスや悪用から保護するために使用されるテクノロジー、ポリシー、およびプロセスです。組織のネットワークは、重要な内部データやリソースをパブリックインターネットに接続します。ネットワークセキュリティは、さまざまなネットワーク層のリソースをセキュリティリスクから保護し、データの機密性、可用性、整合性、および使いやすさを保証します。

お客様、従業員、ソフトウェアユーザーは、リソースにアクセスする際のプライバシーと安全を保護してくれる組織に信頼を寄せています。堅牢なネットワークセキュリティは、組織がデータリスクを軽減し、サービスの可用性を向上させ、柔軟な労働力を維持できるようにする取り組みを強化します。

機密データを保護

組織は、業務を支援するために機密データを収集、保存、処理します。強力なネットワークセキュリティにより、組織は保存されたデータへの不正アクセスを防ぎ、データプライバシー法を遵守することができます。

アプリケーションの可用性と信頼性を確保

エンタープライズアプリケーションが機能するには、安全なネットワークが必要です。ネットワークが危険にさらされると、ユーザーエクスペリエンスと組織の運営が中断されます。効果的なネットワークセキュリティ戦略は、アプリケーションに影響する脅威を軽減したり、侵害された場合は復旧時間を短縮したりするのに役立ちます。

柔軟な働き方の機会を創出

ハイブリッドな作業環境を採用する企業が増えています。そうした企業では、従業員がリモートワークに使用するコンピューターとデバイスを、ネットワークセキュリティ対策と保護ツールで保護します。このようなアプローチにより、企業は従業員がインストールしたアプリを監視し、セキュリティアップデートを適用し、不審なアクティビティをセキュリティチームに報告することができます。

ネットワークセキュリティは、安全なデータフローとシステムインテグリティを確保しながらリソースを保護するのに役立つ一連のポリシーとコントロールです。

ネットワークセキュリティコントロールの 4 つの領域が連携して、組織を脅威から保護します。

予防的コントロール

ネットワークベースの予防ポリシーおよびコントロールは、データ、ワークロード、およびクラウドインフラストラクチャを保護するのに役立ちます。このフェーズでは、多層防御アプローチを使用できます。たとえば、組織の内部ネットワークへの不正アクセスの試みをブロックしたり、重要なアプリケーションへのアクセスを防いだり、外部への大量のデータ転送を停止したりできます。

サイバーセキュリティリスクは、意図しないデータアクセスやランサムウェアイベントなど、許可されたネットワークアクセスから生じます。ネットワーク管理者は、ファイアウォール、Identity and Access Management (IAM) 制御、ネットワークセグメンテーションなどの予防的コントロールを導入します。たとえば、疑わしい IP アドレスが内部サーバーに接続するのをブロックするようにウェブアプリケーションファイアウォールを設定できます。

プロアクティブコントロール

プロアクティブコントロールは、ネットワーク上で非準拠のリソースが作成されるのを防ぐように設計されています。これらの制御により、ネットワークの脆弱性が環境に侵入するのを防ぎます。プロアクティブなネットワーク制御には、リソースの作成を制限する IAM ロールやコンプライアンスベースのインフラストラクチャ作成などのルールが含まれます。たとえば、デフォルトではすべてのストレージを厳密に非公開に設定できます。

検出コントロール

検出とは、予防的防御パラメータをすり抜けた脅威や不正なトラフィックを特定するサイバーセキュリティ活動です。ここでは、セキュリティチームが行動分析、脅威インテリジェンスソリューション、侵入防止システムなどの検出ツールを利用して、組織のネットワーク内の異常なパターンを特定します。優れた検出システムは、脅威を特定してセキュリティ担当者に警告し、デジタル資産への広範囲にわたる損害を防ぐのに役立ちます。たとえば、侵入検知システム (IDS) は、権限のないデバイスからのログイン試行を検出し、そのインシデントをセキュリティチームに報告して調査してもらいます。

レスポンシブコントロール

レスポンシブコントロールは、組織がネットワークセキュリティイベントの影響を最小限に抑え、業務を回復するのに役立ちます。インシデントが発生すると、自動修復サービスが開始され、セキュリティチームが対応計画を実施して、ネットワークの脅威を封じ込めるために取るべき緩和措置を利害関係者に通知します。自動化システムとセキュリティチームが連携して、影響を受けるネットワークを隔離し、バックアップからデータを回復し、フォレンジック分析を行ってネットワークから脅威を取り除きます。いったん封じ込められたら、チームは検出結果をネットワークセキュリティの強化、対応計画の改善、データ損失防止戦略の改良、および将来の同様の攻撃の防止に利用します。

セキュリティチームは、さまざまなタイプのネットワークセキュリティツールと戦略を使用して、ネットワークの脅威を防止、検出、対応します。以下に一般的な例を紹介します。

ネットワークアクセスコントロール

ネットワークアクセスコントロール (NAC) は、権限のないユーザーや非準拠デバイスが組織のネットワークや専有資産にアクセスするのを防ぎます。NAC は多くの場合、Identity and Access Management (IAM) および役割ベースのアクセス制御 (RBAC) ソリューションと連携します。これらを組み合わせることで、セキュリティチームはユーザーの役割、アクセス時間、場所、その他のパラメーターに基づいてアクセス権限をユーザーに付与できます。NAC を実装すると、ネットワークはサーバーに接続しようとする各ユーザーとデバイスを認証します。認証されると、システムはユーザーの権限レベルを評価し、その結果に応じてアクセスを許可または拒否します。

ファイアウォール

ファイアウォールは、事前定義されたルールに従ってネットワークトラフィックを監視およびフィルタリングする特殊なソフトウェアまたはハードウェアです。多くの場合、有害なトラフィックをブロックするためにネットワークの端に配置されます。基本的なファイアウォールは、疑わしい IP アドレスのリストからのトラフィックを防ぐことができます。長年にわたり、ファイアウォールはウェブアプリケーションやクラウド環境により適した高度なネットワーク監視機能を含むように進化してきました。

WAF

ウェブアプリケーションファイアウォール (WAF) は、ウェブセキュリティを強化するファイアウォールの一種です。WAF は、ウェブサイトがサーバーとブラウザ間の通信に使用するプロトコルの一種である HTTP トラフィックを監視します。WAF を導入すると、SQL インジェクションやクロスサイトスクリプティング (XSS) 攻撃などの特定のサイバー脅威からウェブアプリケーションを保護します。SQL インジェクションは、脅威アクターがデータベースにコードを挿入してレコードを盗んだり操作したりするときに発生します。一方、XSS は、悪意のあるスクリプトを合法的なウェブサイトに配置して機密情報を盗む攻撃です。

NGFW

次世代ファイアウォール (NGFW) は、従来のファイアウォールの機能を拡張したものです。ファイアウォールのように、NGFW はあらかじめ決められたルールに基づいて送受信トラフィックを監視します。ただし、ディープパケットインスペクションの実行などの高度な監視機能を追加して、通常のファイアウォールでは見逃す可能性のある隠れた脅威やデータパターンを明らかにします。

DDoS 保護

分散型サービス拒否 (DDoS) は、ウェブサイトやアプリケーションなどのターゲットシステムの可用性に影響を与えるように設計されたサイバーイベントです。これにより、正当なエンドユーザーがこれらのサービスにアクセスして使用できなくなります。通常、攻撃者は最終的に標的システムを圧倒する大量のパケットまたはリクエストを生成します。DDoS 攻撃は、侵害されたり制御された複数のソースを利用して攻撃を仕掛けたりします

エンドポイントセキュリティ

エンドポイントセキュリティとは、ネットワーク上のデバイスとリモートアクセスを要求するデバイスのデジタルセキュリティを強化するツール、ポリシー、および方法を指します。エンドポイントセキュリティソリューションには、パッチ監視、トラフィック分析、暗号化検証、アプリケーション制限を含むサービス制御など、複数の機能がある場合があります。モバイルデバイス管理 (MDM) は、企業環境に接続されたモバイルデバイスのエンドポイントセキュリティの一形態です。

リモートアクセス VPN

仮想プライベートネットワーク (VPN) は、安全なサーバーを介して送受信トラフィックをルーティングします。そこで、VPN はユーザーが送受信するデータを暗号化技術でスクランブルします。また、ユーザーの IP アドレスも隠されるため、ユーザーはインターネット上で匿名のままでいられます。これにより、従業員は Wi-Fi がセキュリティで保護されていない公共の場所で作業している場合でも、組織のネットワークに安全に接続できます。

組織は、さまざまなタイプのデバイス、ユーザー、およびネットワークアーキテクチャを網羅する対象を絞った戦略を実装することで、強固なネットワークセキュリティ管理フレームワークを確立できます。

ゼロトラストネットワークアクセス

ゼロトラストネットワークアクセス (ZTNA) は、信頼できるユーザーとデバイスのみがネットワークリソースにアクセスできるようにします。セキュリティチームがコンピュータネットワークを内部と外部の両方の脅威から保護するのに役立ちます。ZTNA は最小特権の原則に基づいています。つまり、ユーザーは自分の仕事を遂行するために必要なデータについてのみ許可を与えられます。

たとえば、ある部署長が会社の財務データベースにアクセスしようとしているとします。社員が会社の VPN に接続された会社のノートパソコンを使用していて上級社員であっても、ZTNA システムでは引き続き複数の検証手順を踏むことになります。多要素認証によるユーザーの本人確認、デバイスのセキュリティステータス (最新のパッチ、ウイルス対策ソフトウェア) の確認、ユーザーの場所とアクセスの時刻の検証、およびユーザーが特定のデータベースに対して正しい権限を持っていることを確認します。

その後、ZTNA は、疑わしいアクティビティがないかセッションを継続的に監視しながら、ネットワーク全体ではなく、その特定のアプリケーションにのみアクセスを許可します。セキュリティ状態が変化した場合 (デバイス上のマルウェアの検出など)、アクセスは直ちに取り消されます。この「決して信用せず、常に検証する」アプローチは、ユーザーの役割や場所に関係なく、すべてのアクセスリクエストに毎回適用されます。

ネットワークのセグメンテーション

ネットワークセグメンテーションは、ネットワークをより小さなセクションに分割し、管理とセキュリティを確保しやすくします。まず、セキュリティチームはワークグループと相互接続に基づいてユーザーとリソースを分類します。次に、類似したユーザーとリソースを同じネットワークセグメントにグループ化し、境界にファイアウォールやその他のネットワークセキュリティデバイスを配置します。これにより、セキュリティチームは特定のネットワークアクセスポリシーを適用し、権限のないユーザーがネットワークリソースにアクセスするのを防ぐことができます。

さらに、ネットワークセグメンテーションは、コンピュータに感染する不正なソフトウェアが組織全体に広がるのを防ぐのに役立ちます。たとえば、企業ネットワークを事業部門に基づいてセグメント化した場合、マーケティング部門に影響するデータインシデントが人事に影響を与えることはほとんどありません。

ユーザーとエンティティの行動分析

ユーザー、デバイス、ネットワークインフラストラクチャの行動を分析することで、潜在的なデータリスクを未然に防ぐことができます。セキュリティチームは、機械学習とデータ分析によって異常な動作を検出できます。たとえば、従業員が突然モバイルアプリにログインして大量の機密データをダウンロードした場合、ネットワークセキュリティシステムはすぐにセキュリティ担当者に警告します。

AWS ネットワークセキュリティサービスは、ホスト、ネットワーク、およびアプリケーションレベルの境界できめ細かな保護を提供します。例:

• Amazon VPC のセキュリティグループは、AWS ワークロード内のリソースに対してホストレベルの保護を提供します。
• AWS Network Firewall では、VPC へのトラフィック、VPC からのトラフィック、VPC 間のトラフィックをネットワークレベルで厳密に制御できます。ステートフルインスペクション、侵入防止、ウェブフィルタリングなどの機能が含まれています。
• AWS Web Application Firewall を使用することで、IP アドレス、HTTP ヘッダー、HTTP 本文、または URI 文字列などのウェブリクエストの任意の部分をフィルタリングして、SQL インジェクションやクロスサイトスクリプティングなどの一般的な攻撃パターンをブロックできます。
• AWS Shield は、最も大規模な DDoS 攻撃からもネットワークとアプリケーションを保護し、標的型攻撃を回避するためのマネージド検出と応答を提供します。
• AWS Firewall Manager では、共通のセキュリティルール一式を適用することで、新しいアプリケーションとリソースのコンプライアンスを簡単に確保できます。

今すぐ無料アカウントを作成して、AWS でのネットワークセキュリティを開始しましょう。