トレンドFlash No.4――セキュリティ 取材・執筆協力:シスコシステムズ
今,企業に求められるセキュリティ対策の切り札は「階層型セキュリティ戦略」モデルの活用

インターネットヘの高速な常時接続環境が浸透する中で,インターネットの脆弱性を悪用し様々な脅威が高まっている。そこで,企業ネットワークでは,脅威を認識し,それを軽減する方法を段階的に組み合わせて行う「階層型セキュリティ」戦略の利用が必要だ。これにより,ネットワークエッジとネットワークキャンパスをベースに,セキュリティポリシーに沿った堅牢なネットワーク環境を実現する。
インターネットにおける脅威の高まり

 インターネットはもともと,学術ネットワークであったため,当初のインターネットブロトコル(IP)にはセキュリティ機能が明確には組み込まれていない。そのため,ほとんどのIP実装は本質的に安全とは言えず,提供されるツールだけではなく,サービスや製品によるIPセキュリティの対策が求められる。

 現在,企業のネットワーク管理者にとって,セキュリティ対策は重要な課題のひとつだ。悪意のあるハッカーによる攻撃の脅威,ホームページの改ざん,個人情報の流出,そしてサイバーテロの可能性など,インターネットの脆弱性がさまざまな形で警告されているが,ここで,どのような脅威が存在するか,簡単に見ておこう。

 IPネットワークにおける主要な脅威には,(1)「ウィルス」及び「トロイの木馬」,(2)sendmail,HTTP,FTPなどのアプリケーションサーバで動作しているアプリケーションの脆弱性につけ込むアプリケーションレイヤ攻撃,(3)何らかの方法でパスワードを盗むパスワード攻撃,(4)不正な手段でソフトウェアをネットワークに送り込み,パケットを監視,情報を盗み出すパケットスニファ攻撃,(5)内部や外部の信頼できるコンピュータ(IPアドレス)になりすますIPスプーニング攻撃,(6)標的にしたサーバやネットワークのサービスを不能にするために意味のないパケットやメールを大量に送りつけるサービス拒否(DoS)攻撃,(7)複数のシステムから同時にひとつのサイトに対してDoS攻撃を行う分散型サービス拒否(DDoS)攻撃――などがある。

エンタープライズエッジとエンタープライズキャンパスをベースに安全なネットワークを構築

 こうした脅威に対するセキュリティ対策は,「ファイアウォールと侵入検知システムを設置する」といった単純なものでは充分でない。予測される脅威を考慮し,脅威を軽減する方法を調査したうえで,セキュリティに対して段階的にアプローチしていく必要があるのだ。このように様々なセキュリティ手法を状況によって組み合わせて対応するセキュリティ戦略を,「Defense in Depth」あるいは「階層型セキュリティ」と呼ぶ。

 企業ネットワークには,外部アクセスを必要とする内部ユーザーと,内部アクセスを必要とする外部ユーザーが存在する。もっとも簡単で確実なセキュリティ対策は,システムをネットワークから隔離しておくことだ。しかし,これではデータは安全でもデータヘのアクセスができず,業務効率が下がってしまい,将来的な業務拡大は望めない。利便性と安全性には,常にトレードオフが発生する。どの程度の制限を設けるべきか,技術的に解決できる点はないか,をネットワーク管理者は常に検討する必要がある。

 企業ネットワークを大きく分割すると,外部と相互にアクセスを必要とする部分と,外部との接触をできる限り遮断しておきたい部分に分かれる。

 前者を「エンタープライズエッジ」と呼び,ここにはインターネット接続と関連するサーバー,出先からのアクセスと企業内の他サイトヘのWAN接続が含まれる。

 後者は「エンタープライズキャンパス」で,建物や私有地内に限った内部ネットワークとなり,社員が使うエンドステーションや社内用の各種サーバーが含まれる(図)。

セキュリティ対策のベースとなるエンタープライズエッジとエンタープライズキャンパス
エンタープライズエッジとエンタープライズキャンパスをベースに構築

 エンタープライズエッジは,最も攻撃を受けやすい部分だ。ここには社外向けのWeb/FTPサーバーや電子メールサーバーが含まれる。これらのサーバーは,誰でもアクセスできるようにすることが目的であり,アクセスが不能になるほどのセキュリティでは意味がない。そこで外部との接続には,フィルタリングによって不正アクセスを軽減するIOSルータを使用する。

 ネットワークを公示し,使用できるユーザーをフィルタリングするルータは,ハッカーにとって最大の味方となる可能性を秘めている。そのため,ルータセキュリティは,すべてのセキュリティの実装において極めてクリティカルな要素である。

 ルータは,本来アクセスを提供するものであるため,その安全を確保することによって直接被害を受ける可能性を減らすことが必要であり,そのためのセキュリティデバイスの実装が必須である。

 エンタープライズキャンパスでは,エンドユーザのPCから,イントラネットのためのWebサーバー,電子メールサーバー,業務用サーバーなどのサーバー群へのアクセスの提供が目的である。ここでは,高いアベイラビリティ,パフオーマンス,および管理性が必要となる。音声,映像,IPマルチキャストなどの広帯域のアプリケーションが利用されるので,主にレイヤ2やレイヤ3のインテリジェントな高速スイッチから構成される。またスイッチ型インフラストラクチャとVLANの導入は,セグメントの柔軟な分割だけでなく,パケットスニファの脅威を軽減するメリットがある。

 このように「エンタープライズエッジ」と「エンタープライズキャンパス」をベースにしながら,階層型セキュリティ戦略にもとづいて,策定されたセキュリティポリシーに合わせてネットワークの設計によって,脅威を軽減し,セキュアーなネットワーク環境が構築されるのである。

セキュリティについてのさらに詳しい情報(入門編エンタープライズ編
TOPへ