ネットワーク アクセス コントロールとは
ネットワーク アクセス コントロールは、認可されていないユーザーやデバイスによるプライベート ネットワークへのアクセスを防止するための手法です。組織外の特定のデバイスやユーザーが随時ネットワークにアクセスすることを許可している組織では、ネットワーク アクセス コントロールを使用して、これらのデバイスが企業のセキュリティ コンプライアンス規定に準拠していることを確認できます。
企業所有ではないデバイスを使用して企業ネットワークにアクセスすることが認められるケースが増えている今日、企業はネットワーク セキュリティに特段の注意を払い、ユーザーやデバイスに対するアクセス許可を管理する必要があります。ネットワーク セキュリティではネットワークの機能を保護し、認可されたユーザーとデバイスのみがネットワークにアクセスできること、それらのデバイスに感染などの問題がないこと、ユーザーが本人であることを保証します。
ネットワーク アクセス コントロール(NAC)は、ネットワーク セキュリティに必要となる要素のひとつです。NAC ツールは多数あり、その機能は多くの場合、ネットワーク アクセス サーバによって実行されます。効果的なネットワーク アクセス コントロールを行うには、セキュリティ ポリシーに準拠した認可済みのデバイス、つまり必要なセキュリティ パッチや侵入防止ソフトウェアがすべて適用されているデバイスのみにアクセスを制限することが必要です。ネットワーク運用担当者は、どのデバイスやアプリケーションがエンドポイント セキュリティの要件に準拠しておりネットワークへのアクセスが許可されるかを判断する基準となる、セキュリティ ポリシーを定義します。

データセンターを保護する専用の内部ファイアウォール

VMware NSX Network Detection and Response のデータシート
ネットワーク アクセス コントロールのメリット
ネットワーク アクセス コントロールのメリットのひとつは、多要素認証を使用してユーザーに認証を要求できる点です。これは、IP アドレスやユーザー名とパスワードの組み合わせに基づいてユーザー認証を行うよりもはるかに安全です。
また、セキュアなネットワーク アクセス コントロールは、アクセス許可済みのユーザーに対するネットワークの各部分のセキュリティも強化して、アプリケーション セキュリティを確保します。ネットワーク アクセス コントロール ソリューションのなかには、暗号化やネットワーク可視化など、連携可能なセキュリティ制御システムが含まれているものもあります。
ネットワーク アクセス コントロールの一般的なユースケース
組織のセキュリティ ポリシーで以下を許可している場合は、エンタープライズ セキュリティを確保するために、適切なネットワーク アクセス コントロール方法の検討が必須になります。
- BYOD:従業員に自分のデバイスを使用したり、会社のデバイスを自宅に持ち帰ったりすることを許可している組織では、ネットワーク セキュリティを確保するために、ファイアウォールの外側のことも考慮する必要があります。BYOD では各デバイスから脆弱性が生じ、サイバー犯罪者が従来のセキュリティ コントロール システムを回避できるようになる可能性があります。
- 従業員以外によるネットワーク アクセス:組織によっては、従業員と同じセキュリティ コントロール システムが適用されない組織外のユーザーやデバイスにアクセス権限を付与することが必要になる場合があります。ベンダー、訪問者、契約社員は、いずれも企業ネットワークに適宜アクセスできる必要がありますが、ネットワークのすべての部分にアクセスできる必要や毎日アクセスできる必要はありません。
- IoT デバイスの使用:IoT の普及により、従来のセキュリティ コントロール システムではカバーされていない可能性のあるデバイスが急増しました。これらのデバイスは多くの場合、物理的な会社の建物外に所在するにもかかわらず、企業ネットワークに接続されています。適切なネットワーク アクセス コントロールを実施しなければ、サイバー犯罪者は容易にこのような見落とされているデバイスを悪用してネットワークの重要な領域に侵入してしまいます。ネットワーク アクセス コントロールは、エッジ セキュリティ ソリューションの重要な側面です。
ネットワーク アクセス コントロールの機能
ネットワーク アクセス コントロールの重要な機能のひとつは、ネットワークへのアクセスを制限する際の基準として、特定のユーザーと特定のネットワーク領域の両方を使用できる機能です。訪問者は企業ネットワークに接続できるかもしれませんが、社内リソースにはアクセスできません。もしこのようなセキュリティ コントロールを利用していたならば、Target は 2013 年の被害事案の発生を防ぐことができたでしょう。この攻撃では、ハッカーがサードパーティ ベンダーのネットワークへのアクセス権を取得し、そのベンダーが Target の企業ネットワークに接続したことで Target のシステムが侵害されました。
ネットワーク アクセス コントロールは、従業員によるデータへの不正アクセスも防ぐことができます。この機能を利用すれば、企業のイントラネットにアクセスする必要がある従業員であっても、役割上の必要性に応じてアクセスが認可されていない限り、たとえば、機密性の高い顧客データにはアクセスできなくなります。
ネットワーク アクセス コントロールは、ユーザーのアクセスを制限するだけでなく、企業のセキュリティ ポリシーに準拠していないエンドポイント デバイスからのアクセスもブロックします。これにより、組織外のデバイスからのウイルスによるネットワーク侵入を防止できます。会社の業務に使用するすべての従業員用デバイスは、ネットワークへのアクセスを許可される前に、企業のセキュリティ ポリシーに準拠している必要があります。
ネットワーク アクセス コントロールの重要性
ネットワーク アクセス コントロールはすべての組織で機能するわけではありませんし、既存のセキュリティ コントロール システムと互換性がない場合もあります。しかし、ネットワーク アクセス コントロールを適切に実装するための時間と人員を確保できる組織であれば、より強力で包括的なレイヤーを構築して、高価値の資産や機密性の高い資産を保護できます。
データセンター内で仮想マシンを使用する IT 部門ではネットワーク アクセス コントロールが有用ですが、その他のセキュリティ コントロールにも十分な注意を払うことが前提です。仮想サーバの配置はデータセンター内で変動するほか、動的な仮想 LAN はサーバの移動に伴って変化する可能性があるため、仮想化環境の場合は NAC の運用上固有の問題が生じる場合があります。仮想マシン向けにネットワーク アクセス コントロールを導入することで、意図せずにセキュリティ上の盲点を発生させてしまう可能性があるだけでなく、データ監査に関する統制基準への組織の準拠性が損なわれるリスクもあります。これは、従来のセキュリティ手法では、エンドポイントの識別に IP アドレスを使用しているためです。仮想マシンは動的であり、さまざまな場所に移動するため、セキュリティ確保はより複雑になります。
さらに、仮想マシンは非常に簡単かつ高速に起動できるため、経験の浅い IT 管理者が、適切なネットワーク アクセス コントロールがすべて適用されていない状態で仮想マシンを立ち上げてしまう可能性もあります。また、仮想マシンを休止状態から復元する場合にも脆弱性が発生します。サーバが休止状態にある間に新しいパッチがリリースされた場合、マシンが再展開されたときにそのパッチが適用されない可能性があります。アプリケーションのレベルまでに至るネットワーク上のあらゆる対象のセキュリティを確保するために、ネットワーク セキュリティ コントロール システムにアプリケーション セキュリティを追加する組織が増えています。
ネットワーク アクセス コントロールの種類
ネットワーク アクセス コントロールには、基本的に 2 つの種類があります。いずれもネットワーク セキュリティの重要な側面です。
- プレアドミッション:1 つ目のネットワーク アクセス コントロールは、プレアドミッションと呼ばれるものです。このコントロールは、ユーザーやエンドポイント デバイスからネットワークへのアクセス リクエストがあったときにネットワークへのアクセスを許可する前に実行されるため、このように呼ばれています。プレアドミッション ネットワーク コントロールでは、アクセス試行を評価し、リクエストを行ったデバイスやユーザーが、企業のセキュリティ ポリシーに準拠しており、ネットワークへのアクセスが認可されていることを確認できる場合にのみ、アクセスを許可します。
- ポストアドミッション:ポストアドミッションのネットワーク アクセス コントロールは、ネットワーク内へのアクセス権を取得済みのユーザーやデバイスが、ネットワークのほかの部分にアクセスしようとした場合に実行されます。プレアドミッション ネットワーク アクセス コントロールで防御に失敗した場合、ポストアドミッション ネットワーク アクセス コントロールによってネットワーク内のラテラルムーブメントを制限し、サイバー攻撃の被害を抑えることができます。ユーザーやデバイスは、ネットワークのほかの部分に移動するリクエストを行うたびに再認証が必要です。
関連するソリューションおよび製品
NSX Distributed Firewall
各ワークロードに分散されたフルスタックのファイアウォールによるデータセンターの保護
NSX Advanced Threat Prevention
NSX Distributed Firewall が提供するネットワーク トラフィック分析と侵入防止