ネットワーク インフラストラクチャ セキュリティとは

ネットワーク インフラストラクチャ セキュリティとは、リソースやデータに対する不正なアクセスや変更、削除、盗難を拒否するための予防策を導入して、基盤となるネットワーク インフラストラクチャを保護するプロセスのことであり、通常は企業の IT 環境に適用されます。セキュリティ対策には、アクセス コントロール、アプリケーション セキュリティ、ファイアウォール、仮想プライベート ネットワーク（VPN）、振る舞い分析、侵入防止システム、無線セキュリティなどが含まれます。

ネットワーク インフラストラクチャ セキュリティを実現するには、プロセスや手順を継続的に実践する包括的なアプローチによって、基盤となるインフラストラクチャを確実に保護し続ける必要があります。CISA（Cybersecurity and Infrastructure Security Agency）では、どの手法を導入するか検討する際に、いくつかのアプローチを考慮することを推奨しています。

• ネットワークや機能のセグメント化と分離：インフラストラクチャ全体のレイアウトには特に注意を払う必要があります。適切なセグメント化と分離を行うことは、侵入者によるエクスプロイトが内部ネットワークのほかの部分に伝播するのを抑えるための有効なセキュリティ手法です。ルータなどのハードウェアを使用することで、ネットワークを分離し、ブロードキャスト トラフィックをフィルタリングする境界を作ることができます。このマイクロセグメントによって、トラフィックをさらに制限したり、攻撃が検知された場合はそれを遮断したりすることも可能になります。仮想分離は設計上、ルータで物理的にネットワークを分離するのと似ていますが、ハードウェアは一切必要ありません。
• 不要な水平方向の通信の制限：ネットワーク内のピアツーピア通信も見逃すことはできません。ピア間のフィルタリングされない通信が悪用された場合、侵入者がコンピュータからコンピュータへ自由に移動できてしまう可能性があります。それによって攻撃者に、バックドアを埋め込んだり、アプリケーションをインストールしたりして、標的ネットワーク内に留まる機会を与えてしまうことになります。
• ネットワーク デバイスの強化：ネットワーク デバイスを強化することは、ネットワーク インフラストラクチャ セキュリティを向上させるための主な方法です。ネットワークの暗号化、利用可能なサービス、アクセスの確保、強力なパスワード、ルータの保護、物理的なアクセスの制限、設定のバックアップ、セキュリティ設定の定期的なテストなどについては、業界標準やベスト プラクティスに従うことをおすすめします。
• インフラストラクチャ デバイスへのアクセスの保護：特定の信頼できるユーザーに対して管理者権限を付与し、リソースへのアクセスを許可します。多要素認証（MFA）の実装、特権アクセスの管理、管理者認証情報の管理により、ユーザーの真正性を確保できます。
• OoB（アウトオブバンド）ネットワーク管理の実施：OoB 管理では、専用の通信経路を実装して、ネットワーク デバイスをリモートで管理します。それによってユーザー トラフィックと管理トラフィックが分離されるため、ネットワーク セキュリティを強化できます。
• ハードウェアとソフトウェアの整合性の検証：グレー マーケット製品はネットワークへの攻撃経路を生成してしまうため、IT インフラストラクチャを脅かすことになります。非正規品には、悪意あるソフトウェアがあらかじめ組み込まれており、無防備なネットワークに導入されるのを待っている可能性があります。そのため各組織で、デバイスとソフトウェアの整合性チェックを定期的に実施する必要があります。

ネットワーク インフラストラクチャ セキュリティにとっての最大の脅威は、ハッカーや悪意のあるアプリケーションによる、ルーティング インフラストラクチャを支配下に置くための攻撃や試みです。ネットワーク インフラストラクチャを構成するコンポーネントには、ルータ、ファイアウォール、スイッチ、サーバ、ロードバランサー、侵入検知システム（IDS）、DNS、ストレージ システムなど、ネットワーク通信に必要なすべてのデバイスが含まれます。こうしたシステムはそれぞれが、標的ネットワークに悪意あるソフトウェアを持ち込もうとしているハッカーにとっての侵入口となります。

• ゲートウェイのリスク：ゲートウェイ ルータへのアクセスに成功したハッカーは、ネットワークに出入りするトラフィックを監視、変更、拒否することが可能になります。
• 侵入のリスク：ハッカーは内部のルーティング デバイスやスイッチング デバイスからより多くの制御能力を得ることで、ネットワーク内部の主要なホスト間のトラフィックを監視、変更、拒否したり、内部のホスト間の信頼関係を悪用してほかのホストに水平移動したりすることができるようになります。

ハッカーがネットワークに加えることのできる有害な攻撃は無数にありますが、システム深部への侵入を防ぐためには、ルーティング インフラストラクチャの保護と防御がもっとも重要になります。

ネットワーク インフラストラクチャ セキュリティは、適切に実装すれば企業のネットワークにいくつかの重要なメリットをもたらします。

• リソース共有の改善によるコストの削減：セキュリティ保護によって複数のユーザーがネットワーク上のリソースを脅威なく利用できるようになるため、最終的には運用コストの削減につながります。
• サイト用ライセンスの共有：セキュリティが確保されるため、すべてのマシンにライセンスを取得するよりも安価な、サイト用ライセンスを利用できるようになります。
• ファイル共有による生産性の向上：社内ネットワーク上で安全にファイルを共有できます。
• 内部通信の安全性：社内のメールやチャット システムが覗き見から保護されます。
• コンパートメント化と安全なファイル：複数のユーザーによる共有マシンを使用する場合と比べて、各ユーザーのファイルやデータを個別に保護できるようになります。
• データ保護：ローカル サーバへのデータのバックアップも重要な知的財産を保護するシンプルで安全な方法です。

ネットワーク インフラストラクチャ セキュリティの実装にはさまざまなアプローチがあり、複数のアプローチを採用することで、ネットワーク防御の幅を広げることができます。

• アクセス コントロール：不正なユーザーやデバイスによるネットワークへのアクセスを防止すること。
• アプリケーション セキュリティ：ハードウェアやソフトウェアにセキュリティ対策を施し、潜在的な脆弱性を封じ込めること。
• ファイアウォール：ネットワークに対する特定のトラフィックの出入りを許可または防止できるゲートキーパー デバイス。
• 仮想プライベート ネットワーク（VPN）：VPN ではエンドポイント間の接続が暗号化されるため、インターネット上に安全な通信「トンネル」が実現されます。
• 振る舞い分析：振る舞い分析ツールは、通常のアクティビティと異なるネットワーク アクティビティを自動的に検出します。
• ワイヤレス セキュリティ：ワイヤレス ネットワークは有線ネットワークに比べて安全性が低く、新しいモバイル デバイスやアプリケーションの普及に伴って、ネットワーク侵入の経路もますます増加しています。