標的型攻撃対策の“最右翼” 「ネットワーク分離」で何が変わるのか

標的型攻撃対策の手段として、インターネットとLANとを分離する「ネットワーク分離」を採用する動きが広がっている。ネットワーク分離は決して新しい技術ではない。

だが標的型攻撃の活発化や巧妙化によるセキュリティ対策の重要性の高まりや、仮想化をはじめとする周辺技術の進化により、再び注目を集め始めた。 標的型攻撃の動向と合わせて、ネットワーク分離の理解や検討に役立つホワイトペーパーを紹介する。

ネットワーク分離の思わぬ落とし穴

利便性と負荷軽減を両立

 インターネット閲覧環境と業務システムのネットワークを分離する「ネットワーク分離」。その採用企業が直面する大きな課題の1つが、異なるネットワーク間のデータのやりとりだ。本来であれば、分離したネットワーク間でデータをやりとりするのは避けたい。だが従業員が業務を遂行する上で、どうしても他のネットワークにあるデータが必要になる場合がある。

 データを異なるネットワーク間でやりとりするには、幾つかの方法がある。もっとも一般的な手段はUSBメモリだろう。だがUSBメモリは小型であり、盗難・紛失のリスクが高いだけでなく、社外にも比較的容易に持ち出せてしまう。中間サーバを用いるとしても、設置や運用にそれなりのコストが掛かる。

 本資料では、ネットワーク分離環境下で考慮すべき、異なるネットワーク間のデータのやりとりに潜む課題を整理し、安全性と利便性、管理性を両立できる具体的な解決策を示す。

もう1つの「ネットワーク分離」

現実的な内部対策の手段に

 従来のセキュリティ対策では、インターネットとLANとの境界でいかに脅威を食い止めるかという「境界防御」が重要視されていた。だが未知のマルウェアが相次いで登場する中、境界防御だけで脅威の侵入を食い止めることは難しくなってきた。侵入した脅威に迅速に対処する「内部対策」の重要性が高まっているのは、そのためだ。

 内部対策の主要な手法として、ネットワークを流れるパケットを基に脅威の兆候を見つけ出す仕組みや、インターネット閲覧環境と業務システムのネットワークを分離する「ネットワーク分離」がある。双方とも有効な内部対策ではあるが、前者はリアルタイムの脅威検知、後者は異なるネットワーク間のデータのやりとりに課題を抱える。

 本資料では、より現実的かつ効果的な内部対策の手段として、インターネットとLANの境界ではなく、重要情報が眠る“より内部のネットワーク”を分割して保護するファイアウォールに注目し、具体例を交えて解説する。

提供:エヌ・ティ・ティ・ソフトウェア株式会社/株式会社ネットワールド
アイティメディア営業企画/制作:TechTargetジャパン編集部/掲載内容有効期限:2017年2月15日

Copyright© 2017 ITmedia, Inc. All Rights Reserved.