脆弱性とは一般的にはソフトウェアやネットワークの欠陥(バグ)を指しますが、
広義にはシステム面だけでなく、建物・設備面や管理・セキュリティポリシー面での不備も挙げられます。
今回はその中でもネットワーク構成における脆弱性についてとなります。
ネットワーク構成を強固なものにすることはセキュリティ強化の基本で最低限必要不可欠なものとなります。
Contents
侵入・攻撃への対策
「 セグメント分割とアクセス制御」
インターネット側(WAN)、インターネットから閲覧可能な公開サーバ側(DMZ)、イントラネット側(LAN)といった役割によって、ネットワークセグメントを分割することは必須です。
また、イントラネット(LAN)でも、営業部セグメント、人事部セグメント、情報システム部セグメント、内部サーバセグメント、機器管理セグメントなどでセグメント分割、必要によってはアクセス制御を行うことが重要です。
「インターネット接続口の集約化」
インターネット接続口は最小にし、外部の脅威から徹底的に守る必要があります。
そのために、FWやIDS/IPSなどを設置します。
「端末認証」
社内で接続可能な端末はMACアドレス認証や証明書を用いたIEEE802.1x認証を行って、
管理外のパソコンを自由に社内ネットワークに接続できなくするよう制限することです。
外部からの脅威だけでなく、内部からの情報の持ち出しや攻撃を防ぐために内部のセキュリティ対策を行う必要があります。
「機器のパッチ当て、推奨バージョンへのアップデート」
端末やサーバのOS、ソフトウェアをアップデートするように、
ネットワーク機器にもOSがあるため、重要な脆弱性が見つかる可能性があります。
そのため、導入して終わりではなく、定期的なメンテナンスが必要です。
可用性向上のための対策
「スループット」
ネットワークのトラフィック量から、十分なスループットがでる機器を選定します。
インターネット回線速度なども十分なものを契約します。
「冗長性」
重要なネットワーク機器、サーバなどは冗長化し、一時障害が発生しても問題のない構成
とします。
「帯域保証」
データの種類によって分類し、帯域を確保します。
例えば、IP電話のようなリアルタイム性がともなうものは重要な位置付けで保証します。
コメント