3.2.1 ネットワーク構成における脆弱性
ネットワーク構成(トポロジ、セグメンテーション、回線、通信機器の種類・配線など)における脆弱性を次に示す。
● 機密性、関税生の侵害につながる脆弱性の例
機密性、完全生の侵害につながる脆弱性の例として、次の表のようなものがある。
| 機密性、完全性の侵害につながる脆弱性の例 |
|---|
 |
| 脆弱なネットワーク構成の例(セグメント分割がされていないフラットなネットワーク) |
|---|
 |
● 可用性の低下につながる脆弱性の例
可用性の低下につながる脆弱性の例として、次の表のようなものがある。
| 可用性の低下につながる脆弱性の例 |
|---|
 |
前ページの表中の5に関連して、ブロードキャストフレームを発信する通信を例の次を表に示す。
| ブロードキャストフレームを発信する通信の例 |
|---|
 |
3.2.2 ネットワーク構成における脆弱性への対策
ネットワーク構成における脆弱性への対策は次のとおりである。
● 機密性、完全生の侵害につながる脆弱性への対策
① セキュリティレベルに応じた適切なセグメント分割及びアクセス制御
- インターネット、公開サーバ設置セグメント、社内共通LANセグメント、機密情報を取り扱うセキュアLANセグメントなど、求められるセキュリティレベルに応じてセグメントを分割し、各セグメント間のアクセスをファイアウォールやスイッチ・ルータを用いて制御する。
- 公開サーバについてはDMZ(De-Militarized Zone:非武装領域)に設置することでインターネットからのアクセスを制限しつつ、DMZから内部セグメントへのアクセスについても制御する。
- 求められるセキュリティレベルが非常に高く、特定の部門や要員のみが使用するネットワークであれば、他のネットワークとは物理的に切り離す。
- セキュリティレベルに差異のない社内LANセグメント間においても、ルーターやスイッチによるアクセス制御を行うことで、マルウェア感染や不正侵入などの不測事態発生時の被害を最小限にする。
| セキュリティレベルに応じたセグメント分割の例 |
|---|
 |
②インターネット接続口の集約化
インターネットへの接続口や社内への接続口は可能な限り集約し、そこを徹底的に守るようにする。
③無線LANアクセスポイントの撤廃惜しくはセキュリティ対策の強化
- 不要なアクセスポイントを撤廃する
- 無線LANを使用する場合には、脆弱性に対処したWPA2やWPA3に準拠した製品を用いる
④スイッチ(スイッチングハブ、ライや2スイッチ)の使用
リピータハブをスイッチにリプレイスすることで、LAN上での通信データ盗聴の危険性を低減する。ただし、スイッチを用いてもブロードキャストフレームは接続された他のすべてのホストに届くため、盗聴の危険性に変わりはない。ブロードキャストフレームの転送先を限定するにはVLANを構築する必要がある。
⑤ハブ本体の物理的保護及びあきポートのロック
- ハブ本体を床下に設置するなどして、不正接続を防止する
- ハブの空きポートを物理的に塞ぐことで不正な接続を防止する
● 可用性の低下につながる脆弱性への対策
- ① ネットワークの帯域を十分に確保するとともに、十分な処理能力を持つネットワーク機器を使用する
- ② 重要なネットワーク、ネットワーク機器、サーバなどを二重化、冗長化するとともに、ロードバランサを用いて負荷分散を行う
- ③ インターネット接続口においてルータやスイッチによる帯域制限を行う
- ④ プロトコルによって割り当てる帯域の最大値を設定する
- ⑤ スイッチ(レイヤ2スイッチ、レイヤ3スイッチなど)を用いてVLANを構築し、ブロードキャストドメイン(ブロードキャストフレームが届く範囲)を効率的に分離する
Check!
- どのようなネットワークが脆弱なのか
- ネットワークの脆弱性や完全性を高めるにはどのような構成が望ましいか
- ネットワークの可用性を高めるにはどのような構成が望ましいか
