ホーム

Topics

ネットワーク・セキュリティーとは

ネットワーク・セキュリティーとは
IBMネットワーク・セキュリティー・ソリューションはこちら セキュリティーの最新情報を購読する
ネットワーク・インフラストラクチャ、リソース、トラフィックを脅威から保護するネットワーク・セキュリティ・ソリューションを示す図解
ネットワーク・セキュリティーとは

ネットワークセキュリティーは、内部および外部のサイバー脅威やサイバー攻撃からコンピューターネットワークとシステムを保護することに重点を置いたサイバーセキュリティーの分野です。

ネットワーク・セキュリティの主な目的は、ネットワーク・リソースへの不正アクセスを防止すること、サイバー攻撃や進行中のセキュリティ侵害を検出して阻止すること、許可されたユーザーが必要なときに必要なネットワーク・リソースに安全にアクセスできるようにすることの3つである。

ネットワークの規模と複雑さが増大するにつれて、サイバー攻撃のリスクも増大します。たとえば、IBMの「Cost of a Data Breach 2023(2023年データ侵害コスト) 」レポートによると、組織が経験した データ侵害(機微情報や機密情報への不正アクセスにつながるセキュリティー侵害)の82%は、クラウドに保存されているデータに関係しています。これらの攻撃は莫大なコストの原因となりました。データ侵害の世界平均コストは435万ドルですが、米国におけるデータ侵害の平均コストはその2倍以上である944万ドルです。

ネットワーク セキュリティは、ネットワーク インフラストラクチャ、リソース、トラフィックの整合性を保護して、これらの攻撃を阻止し、財務的および運用上の影響を最小限に抑えます。
IBM Security X-Force 脅威インテリジェンス・インデックス

IBM Security X-Force Threat Intelligence Indexを使用することで、より迅速かつ効果的にサイバー攻撃に備え、対応するためのインサイトを得ることができます。
関連コンテンツ データ侵害コスト・レポートに登録する
ネットワークセキュリティ技術の種類

ネットワーク セキュリティ システムは、ネットワークの境界と内部の 2 つのレベルで機能します。

境界では、セキュリティー制御がサイバー脅威がネットワークに侵入するのを阻止しようとします。しかし、ネットワーク攻撃者が侵入することもあるため、ITセキュリティー・チームは、ノートPCやデータなど、ネットワーク内のリソースをコントロールすることもあります。たとえ攻撃者が侵入したとしても、彼らには自由な統治権は得られません。ハッカーと潜在的脆弱性の間に複数のコントロールを重ねるこの戦略は、「深層防御」と呼ばれます。

ネットワーク セキュリティ システムを構築するために、セキュリティ チームは次のツールを組み合わせます。
ファイアウォール

ファイアウォールは、正当なトラフィックを通過させながら、不審なトラフィックがネットワークに出入りするのを阻止するソフトウェアまたはハードウェアです。ファイアウォールは、ネットワークのエッジに展開することも、大規模なネットワークを小さなサブネットワークに分割するために内部で使用することもできます。ネットワークの一部が侵害された場合でも、ハッカーは残りの部分から遮断されます。

ファイアウォールには、さまざまな機能を持つさまざまな種類があります。基本的なファイアウォールはパケット・フィルタリングを使用してトラフィックを検査します。より高度な次世代ファイアウォール(NGFW)には、侵入防御、AIと機械学習、アプリケーションの認識と制御、脅威インテリジェンス・フィードが追加され、保護機能が強化されています。
ネットワークアクセスコントロール(NAC)

ネットワーク・アクセス・コントロール(NAC)ソリューションはゲートキーパーのように機能し、ユーザーを認証および認可して、ネットワークへのアクセスを許可するユーザーとネットワーク内で何を実行できるかを決定します。「認証」とは、ユーザーが本人であることを確認することを意味します。また、認証されたユーザーにネットワーク・リソースにアクセスする権限を付与することも意味します。

NACソリューションは、ユーザーの権限が職務に基づいた役割ベースのアクセス制御(RBAC)ポリシーを適用するためによく使用されます。たとえば、若手開発者はコードを表示して編集することはできても、ライブにプッシュすることはできない場合があります。対照的に、上級開発者はコードを読み書きし、本番環境にプッシュすることができます。RBACは、権限のないユーザーをアクセスが許可されていない資産から遠ざけることで、データ侵害の防止に役立ちます。

一部の NAC ソリューションは、ユーザーの認証に加えて、ユーザーのエンドポイントでリスク評価を実行できます。目標は、セキュリティで保護されていないデバイスや侵害されたデバイスがネットワークにアクセスできないようにすることです。古いマルウェア対策ソフトウェアまたは不適切な構成を備えたデバイスでユーザーがネットワークに入ろうとすると、NAC はアクセスを拒否します。一部の高度な NAC ツールは、非準拠のエンドポイントを自動的に修正できます。
侵入検知および防止システム(IDPS)

侵入検知および防御システム(IDPS)(侵入防御システム(IPS)とも呼ばれる)は、ファイアウォールの背後に直接展開して、セキュリティー上の脅威があるか受信トラフィックをスキャンします。これらのセキュリティー・ツールは、不審なアクティビティにフラグを立てて確認するだけだった侵入検知システムから発展したものです。IDPSには、トラフィックのブロックや接続のリセットなど、侵害の可能性に対して自動的に対応する機能が追加されています。IDPSは、ブルートフォース攻撃やサービス拒否(DoS)攻撃、分散型サービス拒否(DDoS)攻撃を検知し、ブロックするのに特に効果的です。
仮想プライベート ネットワーク (VPN)

仮想プライベート ネットワーク (VPN) は、データを暗号化し、IP アドレスと場所をマスクすることでユーザーの身元を保護します。VPN を使用すると、インターネットに直接接続するのではなく、代わりにインターネットに接続する安全なサーバーに接続することになります。

VPN を使用すると、コーヒー ショップや空港にあるような安全ではない公衆 Wi-Fi 接続を介しても、リモート ワーカーが企業ネットワークに安全にアクセスできます。VPN はユーザーのトラフィックを暗号化し、通信を傍受しようとするハッカーからトラフィックを守ります。

VPNの代わりに、ゼロトラスト・ネットワーク・アクセス(ZTNA)を使用する組織もあります。ZTNAはプロキシ・サーバーを使用するのではなく、ゼロトラスト・アクセス・コントロール・ポリシーを使用してリモート・ユーザーを安全に接続します。リモート・ユーザーがZTNA経由でネットワークにログインしても、ネットワーク全体にはアクセスできません。代わりに、ユーザーは使用が許可されている特定の資産にのみアクセスできるため、新しいリソースにアクセスするたびに再検証が必要になります。
アプリケーション・セキュリティー

アプリケーション・セキュリティとは、セキュリティ・チームがアプリとアプリケーション・プログラミング・インターフェース(API)をネットワーク攻撃者から保護するために講じる措置を指す。 現在、多くの企業がアプリを使用して主要なビジネス機能を実行したり、機密データを処理したりしているため、アプリはサイバー犯罪者の一般的な標的となっています。また、非常に多くのビジネス アプリがパブリック クラウドでホストされているため、ハッカーがその脆弱性を悪用して民間企業のネットワークに侵入する可能性があります。

アプリケーションのセキュリティー対策は、悪意のあるアクターからアプリを保護します。一般的なアプリケーション・セキュリティー・ツールには、Webアプリケーション・ファイアウォールやランタイム・アプリケーションの自己保護、静的アプリケーション・セキュリティー・テスト、動的アプリケーション・セキュリティー・テストなどがあります。
Eメール・セキュリティー

IBM Security X-Force Threat Intelligence Indexによると、フィッシングが最も一般的なサイバー攻撃の最初のベクトルです。Eメール・セキュリティー・ツールは、フィッシング攻撃やユーザーのEメール・アカウントを侵害するその他の試みを阻止するのに役立ちます。ほとんどのEメール・サービスには、スパム・フィルターやメッセージ暗号化などのセキュリティー・ツールが組み込まれています。Eメール・セキュリティー・ツールの中には、サンドボックスと呼ばれる隔離された環境で、セキュリティー・チームがネットワークを公開することなく、Eメールの添付ファイルにマルウェアが含まれていないか検査できるものもあります。
関連するセキュリティ技術

次のツールは厳密にはネットワーク セキュリティ ツールではありませんが、ネットワーク管理者はネットワーク上のエリアや資産を保護するためにこれらを使用することがよくあります。

データ損失防止(DLP)

データ損失防止(DLP)とは、機密データが盗まれたり、誤って流出したりしないようにするための情報セキュリティー戦略とツールを指します。 DLPには、データの流れを追跡し、機密情報を暗号化し、不審な動きが検知された場合に警告を発する、データ・セキュリティー・ポリシーと専用のテクノロジーが含まれます。

エンドポイント・セキュリティー

エンドポイント・セキュリティー・ソリューションは、ノートPCやデスクトップ、サーバー、モバイル・デバイス、IoTデバイスなど、ネットワークに接続するあらゆるデバイスをネットワークに侵入しようとするハッカーから保護します。ウイルス対策ソフトウェアは、デバイス上のトロイの木馬やスパイウェアおよびその他の悪意のあるソフトウェアを検知して、残りのネットワークに拡散する前に破壊します。

EDR(エンドポイントの検知と対応)ソリューションは、エンドポイントの動作を監視し、セキュリティー・イベントに自動的に対応する、より高度なツールです。統合エンドポイント管理(UEM)ソフトウェアを使用すると、企業は単一のコンソールからすべてのエンドユーザー・デバイスを監視・管理・保護できます。

Webセキュリティー

セキュアWebゲートウェイなどのWebセキュリティーソリューションは、悪意のあるインターネット・トラフィックをブロックし、ユーザーが不審なWebサイトやアプリに接続するのを防ぎます。

ネットワーク・セグメンテーション

ネットワーク・セグメンテーションとは、大規模なネットワークを物理的またはソフトウェアによって、より小さなサブネットワークに分割する方法です。ネットワーク・セグメンテーションは、侵害されたサブネットワークを残りのネットワークから遮断することで、ランサムウェアやその他のマルウェアの拡散を制限できます。セグメンテーションはまた、アクセスすべきでない資産から正規ユーザーを遠ざけるのにも役立ちます。

クラウド・セキュリティー

クラウド・セキュリティー・ソリューションは、データセンターやアプリ、その他のクラウド資産をサイバー攻撃から保護します。ほとんどのクラウド・セキュリティー・ソリューションは、ファイアウォールやNAC、VPNといった標準的なネットワーク・セキュリティー対策をクラウド環境に適用したものに過ぎません。多くのクラウド・サービス・プロバイダーは、自社のサービスにセキュリティー対策を組み込んだり、アドオンとして提供しています。

ユーザーとエンティティーの行動分析(UEBA)

ユーザーとエンティティーの行動分析(UEBA)は、行動分析と機械学習を使用して、ユーザーとデバイスの異常なアクティビティーにフラグを立てます。UEBAは、内部脅威やユーザーアカウントを乗っ取ったハッカーを捕まえるのに役立ちます。
ネットワークセキュリティへのゼロトラストアプローチ

従来の企業ネットワークは一元管理されており、主要なエンドポイントやデータ、アプリはオンプレミスにありました。従来のネットワーク・セキュリティー・システムは、脅威がネットワーク境界を突破しないようにすることに重点を置いていました。ユーザーがアクセスすると、そのユーザーは信頼できるものとして扱われ、実質的に無制限のアクセスが許可されました。

しかし、組織がデジタルトランスフォーメーションを追求し、ハイブリッド・クラウド環境を採用するにつれ、ネットワークは分散化しつつあります。現在、ネットワーク リソースは、クラウド データ センター、オンサイトおよびリモートのエンドポイント、モバイルおよび IoT デバイスにわたって存在します。

分散型ネットワークでは、境界ベースのセキュリティー管理があまり効果的でないため、多くのITセキュリティーチームがゼロトラスト・ネットワーク・セキュリティー・フレームワークに移行しています。ゼロトラスト・ネットワーク・セキュリティーでは、境界に焦点を当てるのではなく、個々のリソースの周囲にセキュリティー制御を配置します。ユーザーは決して暗黙的に信頼されているわけではありません。ユーザーがリソースにアクセスしようとするたびに、ユーザーがすでに企業ネットワーク上にあるかどうかに関係なく、認証および許可が必要になります。認証済みユーザーには最小限のアクセス権限のみが付与され、タスクが完了するとすぐに権限が取り消されます。

ゼロトラスト・ネットワーク・セキュリティーは、きめ細かなアクセス・ポリシーや継続的な検証、前述のツールの多くを含む可能な限り多くのソースから収集されたデータに依拠し、適切なユーザーだけが適切なタイミングで適切な理由で適切なリソースにアクセスできるようにします。
エンタープライズネットワークセキュリティソリューション

多層防御のアプローチは企業のネットワークを保護できますが、IT セキュリティ チームが多数の個別のセキュリティ制御を管理する必要があることも意味します。エンタープライズ ネットワーク セキュリティ プラットフォームは、異種のセキュリティ ツールを統合し、セキュリティ チームが単一のコンソールからネットワーク全体を監視できるようにすることで、ネットワーク セキュリティ管理を合理化します。一般的なネットワーク セキュリティ プラットフォームには次のものがあります。

  1. セキュリティー情報およびイベント管理(SIEM)
  2. セキュリティー・オーケストレーション、自動化、レスポンス(SOAR)
  3. ネットワークの検知と対応(NDR)
  4. 拡張検知および対応(XDR)

  • セキュリティー情報とイベント管理(SIEM)は、社内のセキュリティー・ツールから情報を収集し、中央ログに集約し、異常のフラグを立てます。

  • セキュリティ・オーケストレーション、オートメーション、対応(SOAR)ソリューションは、セキュリティー・データを収集・分析し、セキュリティー・チームがサイバー脅威に対する自動化された対応を定義・実行できるようにします。

  • ネットワーク検知・対応(NDR)ツールは、AIと機械学習を用いてネットワーク・トラフィックを監視し、疑わしいアクティビティーを検知します。

  • 拡張検知・対応(XDR)は、セキュリティー・ツールを統合し、すべてのセキュリティー・レイヤー(ユーザー、エンドポイント、Eメール、アプリケーション、ネットワーク、クラウド・ワークロード、データ)にわたってセキュリティー・オペレーションを一元化するオープンなサイバーセキュリティー・アーキテクチャーです。XDRを使用すると、必ずしも連携して動作するように設計されていないセキュリティー・ソリューションでも、脅威の予防・検知・調査・対応においてシームレスに相互運用できます。XDRは、脅威の検知、インシデントの優先順位付け、脅威ハンティングのワークフローを自動化することもできます。
関連ソリューション
ネットワークセキュリティソリューション

未知の脅威もインテリジェントに認識し、リアルタイムで防御するように適応する次世代ネットワーク・セキュリティー・ソリューションでネットワーク全体を保護します。

 ネットワークセキュリティソリューションの詳細
ネットワークセキュリティサービス

高度なサイバーセキュリティの脅威からインフラストラクチャとネットワークを保護するための、実証済みのセキュリティ スキル、専門知識、ソリューションを備えたチームを強化します。

 マネージド・インフラストラクチャーとネットワーク・セキュリティー・サービスの詳細はこちら
参考情報 SIEMとは

SIEM は、組織がビジネス運営に支障をきたす前に、潜在的なセキュリティ上の脅威や脆弱性を認識できるようにするセキュリティ ソリューションです。

 X-Force Threat Intelligenceインデックス

IBM Security X-Force Threat Intelligence Indexは、サイバー攻撃を理解し、組織をプロアクティブに保護するための実行可能な洞察を、最高情報セキュリティー責任者やセキュリティー・チーム、ビジネス・リーダーに提供します。

 X-Force脅威インテリジェンス・インデックス

最新のサイバー脅威と、危険への対応の策定方法をご覧ください。
次のステップ

IBM Security Guardium Data Protectionが、オンプレミスとハイブリッド・マルチクラウドのデータ・ストアのコンプライアンスを徹底し、一元管理された可視性とコントロールを実現する包括的なデータ保護を実現する方法をご覧ください。

 Explore Guardium Data Protectionの詳細はこちら watsonxの概要