ネットワーク・セキュリティ
ネットワーク・セキュリティは、基礎を成すコンピュータネットワークのインフラの規定、無資格者のアクセスからネットワークとネットワークからアクセスできる資源を守るためにネットワーク管理者によって導入される方針、および一貫した継続的な監視とその効果(場合によっては欠陥)の評価までの作業から成り立つ。
情報セキュリティとの比較
編集言葉としてのネットワーク・セキュリティと情報セキュリティは、しばしば同様に使われるが、一般にネットワーク・セキュリティは組織の境界線における防御の提供と理解され、この防御はハッカー、スクリプトキディなどの悪さをする人間を遠ざけるものである。今日ネットワーク・セキュリティ・システムはその効果が十分なものであるため、焦点は組織内の人々による攻撃あるいは単純な間違いから資源を守ることに移っている。そのひとつがDLP(Data Leak Protection:情報漏洩防止対策)である。ネットワーク・セキュリティに関係するインサイダーの脅威に対する一つの答は大きなネットワークの細分化を行って従業員が内部の区画を移動しなくてはならず、その際及び重要な情報に触れる際には身分の確認が行われるようにすることである。情報セキュリティは ネットワーク・セキュリティとDLPを含め、情報資源を守る全ての面に明らかに関係する。
ネットワーク・セキュリティの概念
編集ネットワーク・セキュリティは大概は利用者名とパスワードによる利用者の認証から始められる。一旦認証されると、ファイアウォールはどのサービスがそのネットワーク利用者にアクセスされてもよいかというアクセス・ポリシーを実施する[1]。許可されないアクセスを防ぐには効果的であるが、この部分はネットワークを通して送られるワームのような潜在的に有害な内容をチェックすることができない。侵入防止システム (Intrusion prevention system, IPS) [2]は、そのようなマルウェアを見つけ、阻止するものである。IPSはDoS攻撃 (Denial of Service attack) のような攻撃からネットワークを守るために内容、量および例外的事象(Anomaly-based intrusion detection system)において怪しいネットワークの利用がないかについても監視(ディープ・パケット・インスペクション)を行う。ネットワークを利用したふたつのホスト間通信はプライバシーを守るために暗号化されることがある。ネットワークで起きる個々の出来事は監査と更なる高度な分析のために追跡調査されるときがある。
ハニーポットは基本的にネットワーク経由でアクセスできるおとりの資源であり、監視と早期警戒のための道具としてネットワークに展開されることがある。これらのおとりを無力化しようとする攻撃者の技術は脆弱性を突く技術の新しいものを監視する意味で、その時点および事後に研究される。そのような解析はハニーポットにより保護されるネットワークのセキュリティを向上させるために利用され得る[3]。
ネットワーク・セキュリティの標準とする概念および手法の有効な概要は、ネットワーク・セキュリティに対する攻撃は拡大する存在であるとして提供される[4]。
セキュリティ・マネジメント
編集ネットワークのためのセキュリティ・マネジメントは状況によって異なる。大きな経済活動ではハッキングとスパムによる悪意のある攻撃を防ぐために高度なメンテナンス、進化したソフトウェアおよびハードウェアを必要とする一方で小さな家庭もしくは事務所は基本的なセキュリティを必要とするだけである。
小さな家
編集- 基本的なファイアウォール、あるいは統合脅威管理システム
- ウィンドウズ利用者には、Microsoft Security Essentials、マカフィー アンチウイルス、ノートン アンチウイルス、あるいはAVG Anti-Virusのような基本的なアンチウイルスソフトウェアがある。Windows DefenderあるいはSpybot - Search & Destroyのようなアンチ・スパイウェア・プログラムも、良い考えでもある。考慮されるべきアンチ・ウイルスあるいはアンチ・スパイウェアのプログラムは他にも数多く存在している。
- 無線接続を使用する場合には、しっかりしたパスワードが使用されるべきである。また、利用する無線装置がサポートするWPAまたはWPA2のようなセキュリティの中で最も強力なものを使用するように努めるべきである。
- 子供たちの情報セキュリティに関する認識の向上[5]
中堅企業
編集- 強力なファイアウォール、あるいは統合脅威管理システム
- 強力なアンチウイルスソフトウェアとインターネット・セキュリティ・ソフトウェア
- 認証に強いパスワードを利用し、2週間あるいは月ごとにその変更の実施
- 無線接続を使用する場合には、しっかりしたパスワードが使用されるべきである。
- 従業員の物理的セキュリティに関する認識の向上
- 選択肢にはネットワークアナライザまたはネットワークモニターの利用がある。
大企業
編集- 対象外の利用者を遠ざけておくための強力なファイアウォールとプロキシ
- 強力なアンチウイルスソフトウェアパッケージとインターネット・セキュリティ・ソフトウェア・パッケージ
- 認証に強いパスワードを利用し、1週間あるいは2週間ごとにその変更の実施
- 無線接続を使用する場合には、しっかりしたパスワードが使用されるべきである。
- 従業員のphysical securityに関する訓練の実施
- ネットワーク・アナライザあるいはネットワーク・モニターを用意し、必要に応じて使用
- 出入口および制限区画に監視カメラのような物理的セキュリティの設置
- 会社の区画を示すフェンス
- サーバ・ルームとセキュリティ・ルームのような火気に注意すべき場所に消火器を配備
- 警備はセキュリティの最大化を助けることができる。
学校
編集- 認められた利用者による内外からのアクセスを可能にするために調整可能なファイアウォールとプロキシ
- 強力なアンチウイルスソフトウェアパッケージとインターネット・セキュリティ・ソフトウェア・パッケージ
- ファイアウォールにつながる無線接続。
- 米国における児童インターネット保護法の遵守
- 人気があるサイト使用に基づく更新と変更を保証するためにネットワークを監督。
- インターネットおよびスニーカーネットを元にする攻撃に対する防御を保証するための教師、司書および管理者による恒常的な監督。
大きい政府
編集- 対象外の利用者を遠ざけておくための強力なファイアウォールとプロキシ
- 強力なアンチウイルスソフトウェアとインターネット・セキュリティ・ソフトウェア・スイーツ
- 強力な暗号、通常は256ビットの鍵
- ホワイトリストによる以外の無線接続を封鎖
- 安全な区画内のみにネットワーク機器の設置
- すべてのホストは外部から見えないプライベート・ネットワークに設置されるべきである。
- 非武装地帯 (DMZ) 、つまり内外に対するファイアウォール内に全てのサーバを設置する。
- 敷地を示すフェンスとこれに対応する無線の領域設定
脚注
編集- ^ A Role-Based Trusted Network Provides Pervasive Security and Compliance - interview with Jayshree Ullal, senior VP of Cisco
- ^ Dave Dittrich, Network monitoring/Intrusion Detection Systems (IDS), University of Washington.
- ^ Honeypots, Honeynets
- ^ Simmonds, A; Sandilands, P; van Ekert, L (2004). “An Ontology for Network Security Attacks”. Lecture Notes in Computer Science 3285: 317-323.
- ^ Julian Fredin, Social software development program Wi-TechProtect your children
参考図書
編集- Security of the Internet (The Froehlich/Kent Encyclopedia of Telecommunications vol. 15. Marcel Dekker, New York, 1997, pp. 231-255.)
- Introduction to Network Security, Matt Curtin.
- Security Monitoring with Cisco Security MARS, Gary Halleen/Greg Kellogg, Cisco Press, Jul. 6, 2007.
- Self-Defending Networks: The Next Generation of Network Security, Duane DeCapite, Cisco Press, Sep. 8, 2006.
- Security Threat Mitigation and Response: Understanding CS-MARS, Dale Tesch/Greg Abelar, Cisco Press, Sep. 26, 2006.
- Deploying Zone-Based Firewalls, Ivan Pepelnjak, Cisco Press, Oct. 5, 2006.
- Network Security: PRIVATE Communication in a PUBLIC World, Charlie Kaufman | Radia Perlman | Mike Speciner, Prentice-Hall, 2002. ISBN .
関連項目
編集外部リンク
編集- Stonesoft whitepapers about network security, VPN, IPS and security on virtualized environments
- Cisco IT Case Studies about Security and VPN
- Debate: The data or the source - which is the real threat to network security? - Video
- OpenLearn - Network Security