ネットワークセキュリティとは？主な脅威と今すぐ始めるべき対策11選

ネットワークセキュリティとは、企業のパソコンやサーバー、そして大切な「情報資産 (顧客情報、技術情報など)」を、サイバー攻撃や情報漏えいといった脅威から守るための、すべての対策のことです。

これは、家を守るセキュリティシステムに似ています。私たちは、不審者が入れないように玄関に鍵をかけ (不正アクセス対策) 、大切な貴重品は金庫にしまいます (データ保護)。ネットワークセキュリティは、この防御を企業のIT環境全体で行うものです。

その目的は、情報が「盗まれない (機密性)」「改ざんされない (完全性)」「いつでも使える (可用性)」という3つの状態を維持することにあります。この3要素は、情報セキュリティの基本である「CIA」と呼ばれています。

ネットワークセキュリティ対策を怠ると、具体的にどのような危険に晒されるのでしょうか。ここでは、企業の存続を揺るがしかねない、代表的なサイバー攻撃の脅威を紹介します。

「悪意のあるソフトウェア (Malicious Software)」の総称で、メールの添付ファイルや不正なWebサイト経由でパソコンやサーバーに侵入し、さまざまな被害をもたらします。

• ランサムウェア： 近年被害が大きい脅威の一つ。感染したパソコンやサーバー内のデータを勝手に暗号化し、「元に戻したければ身代金 (Ransom) を払え」と要求します。事業が完全にストップし、多額の金銭的被害と信用の失墜につながります。
• ウィルス/ワーム： 自己増殖しながらネットワーク内に感染を広げ、データを破壊したり、システムをダウンさせたりします。
• スパイウェア：ユーザーに気づかれずにパソコンに潜伏し、IDやパスワード、クレジットカード情報などの個人情報を盗み出します。

IDやパスワードを何らかの方法で盗み出し、正当な利用者になりすましてシステムに侵入する攻撃です。機密情報の窃取や、さらなる攻撃の踏み台として悪用されます。

• フィッシング詐欺：金融機関や取引先を装った巧妙な偽メールを送りつけ、本物そっくりの偽サイトに誘導してID・パスワードを入力させ、情報を盗み取ります。
• 総当たり攻撃 (ブルートフォースアタック) : パスワードを考えられる全てのパターンで機械的に試し、強引にログインを試みます。

Webサイトやサーバーに対し、大量のアクセスやデータを意図的に送りつけることで、システムを過負荷状態にしてダウンさせる攻撃です。

• DoS/DDoS攻撃： 攻撃者が単独 (DoS) または複数のパソコンから分散して (DDoS) 、一斉に攻撃を仕掛けます。これにより、Webサイトの閲覧やオンラインサービスの提供が不可能になり、ビジネスに直接的な打撃を与えます。

セキュリティ対策が強固な大企業を直接狙うのではなく、取引先であるセキュリティの甘い中小企業などをまず攻撃し、そこを踏み台として標的の企業に侵入する、近年増加している巧妙な攻撃手法です。「自社だけ」の対策では防ぎきれない脅威の代表例です。

ネットワークセキュリティが重視されている理由の一つとして、企業における環境や業務のIT化が挙げられます。
クラウドサービスやペーパーレスなどの普及で、機密情報を含む企業のあらゆるデータがインターネット上で保管されるようになりました。

さらに、オンライン会議やリモートワークが以前よりも一般的になり、社外から社内ネットワークへアクセスする機会も増えてきています。

このような状況を受け、ネットワークセキュリティによりサイバー攻撃から資産情報を守ったり、第三者への情報漏えいを防いだりすることが、企業にとっての重要な責務となっています。

ここでは、ネットワーク形態別のセキュリティについて説明します。

クローズドネットワークとは、限られたユーザーのみがアクセスできる、いわゆる社内ネットワークのことです。
インターネットからは隔離されているため、Webやメールからのマルウェア感染といった外部からの攻撃を受けにくいのが特長です。

一方で内部からの攻撃には弱く、社員による不正や不注意によってセキュリティリスクが起こる傾向にあります。
具体的には、内部から接続した機器からのマルウェア感染や、データの不正持ち出しによる情報漏えいなどが起こる可能性があります。

特にオフィス内のWi-Fi (無線LAN) は、この「閉じたネットワーク」への入口であり、ここを突破されると、いとも簡単に内部への侵入を許してしまいます。Wi‑Fi アクセスポイントのセキュリティ設定は非常に重要です。

まずは以下の基本的なWi-Fi設定を見直しましょう。

• SSID (ネットワーク名) を外部から見えないように設定する (SSIDステルス)
• ネットワークセキュリティキー (Wi-Fiパスワード) を推測されにくい複雑なものにし、定期的に変更する

これらに加えて、以下のような対策が有効です。

オープンネットワークとは、インターネットに接続することで社外のユーザーもアクセスできるネットワークのことです。クラウドサービスやコーポレートサイトなどが該当します。

誰でもアクセス可能なため、ウィルス感染や不正アクセスなどの外部からの攻撃を受けやすいという特徴があり、それらに対する対策が重要となります。併せて、クローズドネットワークと同様に内部からの攻撃への対策も必要です。
つまり、オープンネットワークはクローズドネットワークよりもさらに厳重なセキュリティ対策が求められます。

オープンネットワークにおけるセキュリティ対策は、主に次のとおりです。

続いて、ネットワークセキュリティの具体的な対策について説明します。
複数の対策を組み合わせ、あらゆるセキュリティリスクに備えることで、強固なネットワークセキュリティとなります。

ファイアウォールは、不正アクセスやウィルス感染といった外部攻撃からネットワークを守るためのセキュリティツールです。

ファイアウォールは外部からの通信を監視し、許可されていないパケット (分割されたデータ) を感知すると通信を遮断し、管理者へ通知します。
製品によっては、フィルタリング機能に加えてさらに高度な機能が搭載されているものもあります。
ネットワークの規模や目的に合わせて適切なものを選択するとよいでしょう。

今や、社内ネットワークへ接続する端末は社内のデスクトップに限らず、社外で使用するノートパソコンや私用のスマートフォンなど多様化しています。そのため、たとえ自社のセキュリティ対策が十分であっても、セキュリティ対策がされていない端末が社内ネットワークへ接続すると、それがセキュリティホールになり、攻撃を受けやすくなるおそれがあります。

ネットワークアクセス制御 (NAC) は、社内ネットワークへの接続を試みるユーザーや端末を認証し、企業が求めるセキュリティポリシーを満たしている場合に限り接続を許可するセキュリティ技術です。
端末のウィルス対策ソフトの導入状況やOSのバージョンなど、一定の水準を満たさないとネットワークへの接続が許可されません。

仮想プライベートネットワーク (VPN) は、インターネット回線とは別に作られた専用回線のことです。

通常、出張先など外部から社内ネットワークへアクセスすることは不可能ですが、VPNを利用することで外部からでも社内ネットワークへ接続できるようになります。
通常のインターネット回線と異なり、不正アクセスや情報漏えいのリスクが抑えられるのが特長です。

VPNについては、こちらの記事で解説していますのでぜひご覧ください。

多要素認証とは、次の知識情報・所持情報・生体情報の3つの要素のうち、2つ以上を組み合わせた本人認証のことです。

多要素認証を導入することで、たとえIDやパスワードが流出しても残りの情報を持たない限りは、第三者によるログインはできず、不正アクセスを防ぐことができます。

多要素認証については、こちらの記事で解説していますのでぜひご覧ください。

IAM (Identity and Access Management) は、IDおよびアクセス管理のことです。

IAMの導入は管理者側と社員の両方にメリットがあります。

管理者側のメリットとしては、IAMでIDやアクセス権を適切に一元管理でき、管理・運用しやすくなることが挙げられます。
これにより、例えば退職者のIDを一括で削除して退職者による不正アクセスを防げるなど、情報漏えいのリスクも抑えられます。

社員にとっても、一度認証を受ければ複数のサービスにアクセスが可能となり、都度ログイン情報を入力する手間が省けるというメリットがあります。これをSSO (シングルサインオン) といいます。

DLP (Data Loss Prevention) は、情報漏えい防止のためのセキュリティシステムです。
保有するデータのうち機密情報を識別して、重要な情報はコピーができないように制限をかけたり、持ち出された場合にアラートを通知することで保護します。

一般的な情報漏えいへのセキュリティ対策としては、外部からアクセス制限をかけるなどの方法があります。
ただし、これだけでは内部の人間による不正持ち出しまでは防ぐことはできません。そこで、DLPにより機密性の高いデータを保護することで、内部からの情報漏えいも防げるようになります。

なお、DLPの保護対象となるのは機密情報に限定され、それ以外の情報については対応できないという点には注意しましょう。

IDS (Intrusion Detection System＝不正侵入検知システム)・IPS (Intrusion Prevention System＝不正侵入防止システム) は、サーバーやネットワークを監視して不正アクセスや脅威の検知・防御を行うシステムです。

IDSは不正アクセスの通知を、IPSは不正アクセスの遮断を行います。
これらの導入により、不正アクセスの遮断だけでなく、DDoS攻撃 (分散型サービス拒否攻撃) というサーバーに負荷をかけ、正常なサービス提供を妨げる攻撃なども防ぐことが可能です。

DDoS攻撃については、こちらの記事で解説していますのでぜひご覧ください。

ただし、あくまでもIDSは不正アクセスを通知するのみであるため、通知を受けてから対処するまでに被害が拡大するおそれもあります。一方で、IPSを導入する場合、外部からの通信を遮断することになるため運用に適さないケースもあります。

そのため、自社にとってどちらが適しているかは慎重に検討することが大切です。

EDR (Endpoint Detection and Response) は、ネットワークに接続されているパソコン、タブレット、スマートフォンといったエンドポイントの端末の操作や動作を監視し、通知や対処を行うセキュリティ対策です。

EDRでは侵入を防ぎきれなかったウィルスに対して対処を行います。
昨今、ウィルス感染の手口が巧妙化し、未知のウィルスも登場しておりウィルスの侵入を完全に防ぐのが難しくなっていることから、EDRが注目されています。

EDRについては、こちらの記事で解説していますのでぜひご覧ください。

ネットワークが正常に稼働しているかを、ネットワーク監視により確認します。
常にネットワークを監視することで、ネットワーク障害や不正アクセスなどの予兆にいち早く気付き、早期に対処できます。

KDDIでは、セキュリティ対策のリーディングカンパニー・株式会社LAC (ラック) のノウハウを融合したセキュリティソリューションを提供しております。セキュリティ専門技術者の知見に基づく診断サービス、およびセキュリティ監視センターによるリアルタイムの監視などで、お客さまのセキュリティ対策をサポートいたします。

詳しくはこちらをご覧ください。

セキュリティ診断の実施により、ネットワークの脆弱性 (セキュリティ上の欠陥) を明確にすることができます。
脆弱性に気付かず放置したままにしていると攻撃の対象となりやすく、不正アクセスや情報漏えいなどの被害につながることもあります。

セキュリティリスクを抑えるためにも、セキュリティ診断により脆弱性を明らかにし、事前に対策しておくことが大切です。
セキュリティ診断は市販のツールを使った方法などさまざまありますが、総務省は専門家による診断サービスを推奨しています。

SASE (Secure Access Service Edge) とは、ネットワークサービスとセキュリティサービスを一体化するという概念およびクラウドサービスのことです。

従来は、社内ネットワークと外部ネットワーク・インターネットの間に境界線を引き、外部からの攻撃さえ対策すればネットワークの安全性を確保できるという考え方が一般的でした。

しかし、現代ではクラウドサービスの普及によって境界線が曖昧になりつつあり、従来のように外部からのアクセスに対するセキュリティ対策だけでは不十分であるという考え方 (ゼロトラスト) が浸透してきています。

SASEにより、安全に通信を行うためのVPNやリモートアクセスなどのネットワークサービス、ファイアウォールやウィルス対策ソフトといったセキュリティサービスに関して、すべてクラウド上で提供を受けることができます。
その結果、社内はもちろん、社外のコワーキングスペースや海外拠点など、どのような状況でも安全にアクセスすることが可能になります。

SASEの導入を検討している方は、KDDIの「Global SASE Platform Service by Fortinet」を導入してみてはいかがでしょう。
本サービスでは、国内外における高品質・高セキュリティなネットワーク環境の実現から運用保守までをワンストップで提供しています。

従来のSASEサービスでは、ネットワークを切り替えるために導入時に既存イントラネット (社内ネットワーク) の再設計が必要でしたが、Global SASEでは既存のイントラネットに影響することなく導入が可能です。そのため、既存イントラネットをご利用中の方でも導入しやすいサービスです。

Global SASEの詳細については、こちらをご覧ください。

多くの企業がネットワーク上で情報を管理している現代では、ネットワークセキュリティは必須といえます。
ネットワークセキュリティを適切に行わないとサイバー攻撃の対象になり、大きな損害を受けるおそれもあるため、慎重に検討する必要があります。

KDDIでは、法人・ビジネス向けに多様なセキュリティサービスを提供しております。
セキュリティソリューションやセキュリティサービスの導入を新たに検討している方、現在の対策方法を見直したい方は、KDDIにご相談ください。

お客さまのご要望や状況に合わせて、KDDI 法人営業担当者が最適なソリューションを提案いたします。

詳しくはこちらをご覧ください。