情報資産管理にはネットワークセキュリティが重要！
必要性や種類をご紹介

ネットワークセキュリティが重視されている理由の一つとして、企業における環境や業務のIT化が挙げられます。
クラウドサービスやペーパーレスなどの普及で、機密情報を含む企業のあらゆるデータがインターネット上で保管されるようになりました。

さらに、オンライン会議やリモートワークが以前よりも一般的になり、社外から社内ネットワークへアクセスする機会も増えてきています。

このような状況を受け、ネットワークセキュリティによりサイバー攻撃から資産情報を守ったり、第三者への情報漏えいを防いだりすることが、企業にとっての重要な責務となっています。

ここでは、ネットワーク形態別のセキュリティについて説明します。

クローズドネットワークとは、限られたユーザーのみがアクセスできる、いわゆる社内ネットワークのことです。
インターネットからは隔離されているため、Webやメールからのマルウェア感染といった外部からの攻撃を受けにくいのが特長です。

一方で内部からの攻撃には弱く、社員による不正や不注意によってセキュリティリスクが起こる傾向にあります。
具体的には、内部から接続した機器からのマルウェア感染や、データの不正持ち出しによる情報漏えいなどが起こる可能性があります。

クローズドネットワークにおけるセキュリティ対策として、以下のものが挙げられます。

オープンネットワークとは、インターネットに接続することで社外のユーザーもアクセスできるネットワークのことです。クラウドサービスやコーポレートサイトなどが該当します。

誰でもアクセス可能なため、ウィルス感染や不正アクセスなどの外部からの攻撃を受けやすいという特徴があり、それらに対する対策が重要となります。併せて、クローズドネットワークと同様に内部からの攻撃への対策も必要です。
つまり、オープンネットワークはクローズドネットワークよりもさらに厳重なセキュリティ対策が求められます。

オープンネットワークにおけるセキュリティ対策は、主に次のとおりです。

続いて、ネットワークセキュリティの具体的な対策について説明します。
複数の対策を組み合わせ、あらゆるセキュリティリスクに備えることで、強固なネットワークセキュリティとなります。

多要素認証とは、次の知識情報・所持情報・生体情報の3つの要素のうち、2つ以上を組み合わせた本人認証のことです。

多要素認証を導入することで、たとえIDやパスワードが流出しても残りの情報を持たない限りは、第三者によるログインはできず、不正アクセスを防ぐことができます。

多要素認証については、こちらの記事で解説していますのでぜひご覧ください。

ファイアウォールは、不正アクセスやウィルス感染といった外部攻撃からネットワークを守るためのセキュリティツールです。

ファイアウォールは外部からの通信を監視し、許可されていないパケット (分割されたデータ) を感知すると通信を遮断し、管理者へ通知します。
製品によっては、フィルタリング機能に加えてさらに高度な機能が搭載されているものもあります。
ネットワークの規模や目的に合わせて適切なものを選択するとよいでしょう。

今や、社内ネットワークへ接続する端末は社内のデスクトップに限らず、社外で使用するノートパソコンや私用のスマートフォンなど多様化しています。そのため、たとえ自社のセキュリティ対策が十分であっても、セキュリティ対策がされていない端末が社内ネットワークへ接続すると、それがセキュリティホールになり、攻撃を受けやすくなるおそれがあります。

ネットワークアクセス制御 (NAC) は、社内ネットワークへの接続を試みるユーザーや端末を認証し、企業が求めるセキュリティポリシーを満たしている場合に限り接続を許可するセキュリティ技術です。
端末のウィルス対策ソフトの導入状況やOSのバージョンなど、一定の水準を満たさないとネットワークへの接続が許可されません。

IDS (Intrusion Detection System＝不正侵入検知システム)・IPS (Intrusion Prevention System＝不正侵入防止システム) は、サーバーやネットワークを監視して不正アクセスや脅威の検知・防御を行うシステムです。

IDSは不正アクセスの通知を、IPSは不正アクセスの遮断を行います。
これらの導入により、不正アクセスの遮断だけでなく、DDoS攻撃 (分散型サービス拒否攻撃) というサーバーに負荷をかけ、正常なサービス提供を妨げる攻撃なども防ぐことが可能です。

DDoS攻撃については、こちらの記事で解説していますのでぜひご覧ください。

ただし、あくまでもIDSは不正アクセスを通知するのみであるため、通知を受けてから対処するまでに被害が拡大するおそれもあります。一方で、IPSを導入する場合、外部からの通信を遮断することになるため運用に適さないケースもあります。

そのため、自社にとってどちらが適しているかは慎重に検討することが大切です。

仮想プライベートネットワーク (VPN) は、インターネット回線とは別に作られた専用回線のことです。

通常、出張先など外部から社内ネットワークへアクセスすることは不可能ですが、VPNを利用することで外部からでも社内ネットワークへ接続できるようになります。
通常のインターネット回線と異なり、不正アクセスや情報漏えいのリスクが抑えられるのが特長です。

VPNについては、こちらの記事で解説していますのでぜひご覧ください。

DLP (Data Loss Prevention) は、情報漏えい防止のためのセキュリティシステムです。
保有するデータのうち機密情報を識別して、重要な情報はコピーができないように制限をかけたり、持ち出された場合にアラートを通知することで保護します。

一般的な情報漏えいへのセキュリティ対策としては、外部からアクセス制限をかけるなどの方法があります。
ただし、これだけでは内部の人間による不正持ち出しまでは防ぐことはできません。そこで、DLPにより機密性の高いデータを保護することで、内部からの情報漏えいも防げるようになります。

なお、DLPの保護対象となるのは機密情報に限定され、それ以外の情報については対応できないという点には注意しましょう。

セキュリティ診断の実施により、ネットワークの脆弱性 (セキュリティ上の欠陥) を明確にすることができます。
脆弱性に気付かず放置したままにしていると攻撃の対象となりやすく、不正アクセスや情報漏えいなどの被害につながることもあります。

セキュリティリスクを抑えるためにも、セキュリティ診断により脆弱性を明らかにし、事前に対策しておくことが大切です。
セキュリティ診断は市販のツールを使った方法などさまざまありますが、総務省は専門家による診断サービスを推奨しています。

ネットワークが正常に稼働しているかを、ネットワーク監視により確認します。
常にネットワークを監視することで、ネットワーク障害や不正アクセスなどの予兆にいち早く気付き、早期に対処できます。

KDDIでは、セキュリティ対策のリーディングカンパニー・株式会社LAC (ラック) のノウハウを融合したセキュリティソリューションを提供しております。セキュリティ専門技術者の知見に基づく診断サービス、およびセキュリティ監視センターによるリアルタイムの監視などで、お客さまのセキュリティ対策をサポートいたします。

詳しくはこちらをご覧ください。

IAM (Identity and Access Management) は、IDおよびアクセス管理のことです。

IAMの導入は管理者側と社員の両方にメリットがあります。

管理者側のメリットとしては、IAMでIDやアクセス権を適切に一元管理でき、管理・運用しやすくなることが挙げられます。
これにより、例えば退職者のIDを一括で削除して退職者による不正アクセスを防げるなど、情報漏えいのリスクも抑えられます。

社員にとっても、一度認証を受ければ複数のサービスにアクセスが可能となり、都度ログイン情報を入力する手間が省けるというメリットがあります。これをSSO (シングルサインオン) といいます。

SASE (Secure Access Service Edge) とは、ネットワークサービスとセキュリティサービスを一体化するという概念およびクラウドサービスのことです。

従来は、社内ネットワークと外部ネットワーク・インターネットの間に境界線を引き、外部からの攻撃さえ対策すればネットワークの安全性を確保できるという考え方が一般的でした。

しかし、現代ではクラウドサービスの普及によって境界線が曖昧になりつつあり、従来のように外部からのアクセスに対するセキュリティ対策だけでは不十分であるという考え方 (ゼロトラスト) が浸透してきています。

SASEにより、安全に通信を行うためのVPNやリモートアクセスなどのネットワークサービス、ファイアウォールやウィルス対策ソフトといったセキュリティサービスに関して、すべてクラウド上で提供を受けることができます。
その結果、社内はもちろん、社外のコワーキングスペースや海外拠点など、どのような状況でも安全にアクセスすることが可能になります。

SASEの導入を検討している方は、KDDIの「Global SASE Platform Service by Fortinet」を導入してみてはいかがでしょう。
本サービスでは、国内外における高品質・高セキュリティなネットワーク環境の実現から運用保守までをワンストップで提供しています。

従来のSASEサービスでは、ネットワークを切り替えるために導入時に既存イントラネット (社内ネットワーク) の再設計が必要でしたが、Global SASEでは既存のイントラネットに影響することなく導入が可能です。そのため、既存イントラネットをご利用中の方でも導入しやすいサービスです。

Global SASEの詳細については、こちらをご覧ください。

EDR (Endpoint Detection and Response) は、ネットワークに接続されているパソコン、タブレット、スマートフォンといったエンドポイントの端末の操作や動作を監視し、通知や対処を行うセキュリティ対策です。

EDRでは侵入を防ぎきれなかったウィルスに対して対処を行います。
昨今、ウィルス感染の手口が巧妙化し、未知のウィルスも登場しておりウィルスの侵入を完全に防ぐのが難しくなっていることから、EDRが注目されています。

EDRについては、こちらの記事で解説していますのでぜひご覧ください。

多くの企業がネットワーク上で情報を管理している現代では、ネットワークセキュリティは必須といえます。
ネットワークセキュリティを適切に行わないとサイバー攻撃の対象になり、大きな損害を受けるおそれもあるため、慎重に検討する必要があります。

KDDIでは、法人・ビジネス向けに多様なセキュリティサービスを提供しております。
セキュリティソリューションやセキュリティサービスの導入を新たに検討している方、現在の対策方法を見直したい方は、KDDIにご相談ください。

お客さまのご要望や状況に合わせて、KDDI 法人営業担当者が最適なソリューションを提案いたします。

詳しくはこちらをご覧ください。