Zscalerのブログ
Zscalerの最新ブログ情報を受信
ネットワーク セキュリティで防ぐべき脅威とその対策をわかりやすく解説
現在、社内外のコミュニケーション、クラウド サービスの活用、リモート ワークなど、あらゆる業務がネットワークを基盤として成り立っています。一方で、ランサムウェアやフィッシング詐欺をはじめとするサイバー攻撃の高度化、巧妙化により、ネットワークを狙った脅威も年々増加しています。情報の漏洩やサービスの停止が発生すれば、企業の信頼を損なうだけでなく、事業継続が困難になるなど、ビジネスに深刻な影響を及ぼしかねません。本記事では、ネットワークに対する代表的な脅威と、企業が取るべきセキュリティ対策について解説します。
ネットワーク セキュリティとは
ネットワーク セキュリティとは、ネットワークを通じてやり取りされるデータやシステムを脅威から守るための技術やプロセスなどの総称です。
【ネットワーク セキュリティの例】
- 不正アクセスの防止
- 通信内容の暗号化
- 利用者の認証とアクセス制御
- 不審な挙動の検知と対応
従来はファイアウォールなどによる境界防御が中心でしたが、クラウド サービスやモバイル端末の普及により、社内と社外を分ける境界そのものが曖昧になっています。そのため近年は、ゼロトラストに代表される「境界に依存しないセキュリティ モデル」への移行が求められています。
ネットワークに対する脅威の例
ネットワークを脅かす代表的な脅威には以下のようなものがあります。
脅威の種類 | 概要 | 影響の例 |
|---|---|---|
マルウェアやランサムウェア | 情報窃取やシステム破壊、データ暗号化とそれに続く身代金の要求 | 業務停止、データの流出や消失、金銭的損害、ブランド イメージの低下 |
フィッシング詐欺 | 偽メールや偽サイトを使った認証情報や金融情報の窃取 | IDやパスワードの流出、不正送金、アカウントの乗っ取り |
DoS攻撃やDDoS攻撃 | 大量のリクエストや帯域幅の消費によるサーバー資源の圧迫とサービスの妨害 | サービスの停止、顧客離脱による機会損失 |
スパイウェア | 不正なソフトウェアによるユーザーの行動データや機密データの収集 | 情報漏洩、顧客データ流出、長期的な監視による被害の拡大 |
マルウェアやランサムウェア
マルウェアは、悪意のあるソフトウェアの総称であり、情報の窃取、システムの破壊、不正なアクセスなど、さまざまな被害を引き起こします。ランサムウェアはその一種で、端末やデータを暗号化した上で身代金を要求するものです。
フィッシング詐欺
フィッシング詐欺は、メール、SMS、SNSなどを通じて利用者をだまし、偽のログインページや入力フォームに誘導して認証情報やクレジットカード情報を盗む手口です。正規サイトに酷似した偽装ページを使うケースも多く、個人の金銭被害にとどまらず、アカウント乗っ取りや企業システムへの不正侵入に悪用されるなど、被害は拡大する傾向にあります。
DoS攻撃やDDoS攻撃
DoS攻撃は、大量のリクエスト送信やシステムの脆弱性を悪用することで、サービスのリソースを枯渇させ停止に追い込む攻撃です。分散型のDDoS攻撃では、ボットネット化した多数の端末から一斉に攻撃が仕掛けられるため、トラフィック量が膨大になり、正規の通信との見分けがつきにくく、防御の難易度も非常に高くなります。
スパイウェア
スパイウェアは、ユーザーに気付かれない形で動作し、行動履歴や入力情報、機密データを密かに収集する不正なソフトウェアです。多くの場合、正規のソフトを装うか、脆弱性を悪用してインストールされ、個人の認証情報の流出から企業の機密情報の漏洩まで、深刻な被害を引き起こします。
従来のネットワークセキュリティ対策とその課題
多くの組織では、これまで個別のセキュリティ製品を導入し、主に社内と社外を分ける「境界」を守ることでネットワークを保護してきました。まずは、その従来型の具体的な対策について振り返ります。
目的 | 具体的な対策例 |
|---|---|
無線LANの保護 | SSIDやセキュリティ キーの変更、WPA2やWPA3の利用 |
通信の安全の確保 | VPNの利用やクラウド ベース セキュリティ(SASE、SWG、 ZTNAなど)の導入 |
エンドポイントの保護 | アンチウィルスやEDRなどのエンドポイント セキュリティの実装 |
ネットワーク境界の防御 | ファイアウォールの設置、ゲートウェイ保護、UTMの導入 |
侵入の検知や防御 | IDSやIPSの導入(異常な通信を検知し、攻撃を自動的に遮断) |
情報漏洩の防止 | DLPの導入 |
以下、順に解説します。
無線LANの保護
無線LANのSSIDやセキュリティ キーを初期設定のまま利用すると、攻撃者に推測されやすく、侵入リスクが高まります。特に中小企業などでは軽視されがちですが、SSIDは会社名や業務内容を連想させない名称に変更し、セキュリティ キーは長く複雑なパス フレーズに設定することが重要です。
また、WEPや初期のWPAは、実質的に防御力を失っており、現在では容易に突破されてしまいます。最新のWPA3を利用できる場合はそれを選択し、機器の制約などで利用できない場合でもWPA2に切り替える必要があります。さらに、ルーターのファームウェア更新やゲストWi-Fiの分離も重要なセキュリティ対策です。
通信の安全の確保
自宅や外出先などから社内ネットワークにアクセスする際には、VPNによる通信の暗号化が有効です。特に公共Wi-Fiなどセキュリティが不十分な環境でも安全にアクセスできます。ただし、VPNには帯域幅の制限や拡張性の課題があるため、クラウド利用やゼロトラスト前提の環境には十分対応できません。
そこで注目されるのがクラウドベースのセキュリティ ソリューション(例:SASE、SWG、ZTNA)です。ネットワークからセキュリティを切り離し、ユーザーやアプリの場所に関係なく一貫したポリシーを適用できます。主なメリットは以下のとおりです。
- 高速なユーザー エクスペリエンス:分散配置されたクラウドPoPによって、トラフィックを最短経路で処理します。
- 優れたセキュリティ:すべてのトラフィックを暗号化、検査し、最新の脅威を踏まえた処理を適用します。
- コスト削減:ハードウェアを必要とせず、クラウド基盤を通じて自動で更新されます。
- 管理の簡素化:多数の拠点やデバイスを一元管理できるようになります。
ゼロトラストを前提とするソリューションでは、オフィス、自宅、出張先など、ユーザーがどこにいても同じセキュリティ環境を実現できます。なお「クラウド対応」と称しつつ実態がオンプレ機器の仮想化にすぎない製品もあるため、導入時にはクラウドネイティブなサービスを選ぶことも重要です。
エンドポイントの保護
エンドポイントとは、PCやスマートフォンなど従業員が直接利用する端末のことです。エンドポイントを保護するためのセキュリティ対策としてよく知られているのは、アンチウイルス ソフトでしょう。これは不正なプログラムを検知、削除するためのものであり、ウイルス感染や不正ソフトの実行を防ぎます。
さらに最近では、EDR (エンドポイントでの検知と対応)と呼ばれるソリューションの利用も広がっています。EDRは、アンチウイルスだけでは防ぎきれない攻撃を検知し、異常な動作を見つけたときにアラートを出すことで、被害の拡大を防ぎます。すべての端末にこうしたセキュリティ対策を導入し、常に最新の状態に更新しておくことが重要です。
ネットワーク境界の防御
ネットワークの出入口であるゲートウェイは最初の防御ラインとなります。WebフィルタリングやSWG (セキュアWebゲートウェイ)を導入することで、不審なWebサイトへのアクセスやマルウェアのダウンロードを未然に防止できます。メール ゲートウェイを活用すれば、スパムやフィッシングへの対策も可能です。
ファイアウォールは従来のネットワーク セキュリティの基本的な要素であり、主に外部からの不正アクセスを遮断する役割を担っていました。現在の次世代ファイアウォール(NGFW)は、アプリケーション単位での制御やSSL復号による検査も可能です。オンプレミス環境に限らず、クラウド型ファイアウォール(FWaaS)を利用することで、複数拠点やモバイル環境においても一貫した保護を実現できます。
UTM (統合脅威管理)は、中小規模の組織でも多層的なセキュリティを簡単に実現できる統合型ソリューションです。ファイアウォール、IPS、アンチウイルス、VPNなどを統合し、コスト効率に優れた管理を実現します。ただし、大規模な環境では性能や柔軟性、可用性の面で課題が生じるため、業務要件や規模に応じたソリューションの選択が重要です。
侵入の検知や防御
IDS (侵入検知システム)は、ネットワークやホストでの異常なトラフィックや挙動を検知し、管理者に通知する仕組みです。IPS (侵入防止システム)は、IDSの機能を拡張し不正な通信を自動的に遮断することができます。
ゼロデイ攻撃や標的型攻撃の増加により、IDSやIPSはネットワーク監視の要として重要性が高まっています。ただし、誤検知や過検知が運用上の課題となる場合もあるため、SIEMと連携させてログを集約したり、EDRの情報をXDRプラットフォームに取り込んで他のセンサー情報と相関分析したりすることで、多層防御の一部として活用することが推奨されます。
情報漏洩の防止
DLP (情報漏洩防止)ソリューションは、企業の機密データが誤操作や内部不正により社外へ持ち出されることを防ぎます。たとえば、顧客データの外部への誤送信や、外部サービスへの機密情報のアップロードなどを防止できます。DLPは送信データの内容(個人情報やカード番号など)や送信先の属性を検査し、不正な操作のブロック、警告や暗号化、管理者への通知といった形で制御します。
クラウド利用が標準化した現在では、SaaSアプリやクラウド ストレージへのアップロードを制御するクラウドDLPが不可欠になり、CASBと組み合わせた利用も広がっています。
これらの対策は個別には有効ですが、クラウド利用やリモートワークが当たり前になった現在、以下のような課題に直面しています。
- 管理の複雑化とコスト増: 多数の機器の運用・保守に手間とコストがかかります。
- パフォーマンスの低下: データセンター経由の通信(バックホール)が発生し、クラウドサービスの利用体験が悪化します。
- 一貫性のないセキュリティ: 場所やデバイスによって適用されるポリシーが異なり、意図しない設定の隙間が生じるリスクがあります。
これからのネットワークセキュリティ戦略:ゼロトラストへの移行
従来のネットワークセキュリティは、ファイアウォール、VPN、Webプロキシ、IDS/IPSなど、それぞれが独立した「ポイントソリューション」を複数導入することで成り立っていました。しかし、クラウド利用やリモートワークが当たり前になった現在、このアプローチは以下のような課題に直面しています。
- 管理の複雑化とコスト増: 多数の機器の運用・保守に手間とコストがかかる。
- パフォーマンスの低下: データセンター経由の通信(バックホール)が発生し、クラウドサービスの利用体験が悪化する。
- 一貫性のないセキュリティ: 場所やデバイスによって適用されるポリシーが異なり、意図しない設定の隙間やセキュリティレベルのばらつきが生じるリスクがあります。
これらの課題を解決するために、ゼロトラストの原則に基づき、必要なセキュリティ機能をクラウド上で一つに統合したSASE(Secure Access Service Edge)や、その中核であるSSE(Security Service Edge)というアプローチが主流になっています。このモデルは主にユーザーとシステム間のアクセス(North-South通信)を保護の対象としますが、ゼロトラストの考え方を実現するには、システム内部での脅威の広がり(East-West通信)を防ぐ別の対策との連携も同様に重要です。
SASE/SSEをベースとした現代のネットワークセキュリティは、主に以下の4つの領域を保護することで実現されます。
インターネットとSaaSへのセキュアなアクセス(ユーザーから外部へ)
オフィスや自宅など、場所を問わずユーザーが安全にインターネットやSaaSを利用するための機能群です。従来の境界防御(ファイアウォールやUTM)の役割をクラウドで代替します。これらのアクセス制御は、ユーザーのアイデンティティに加え、デバイスの状態(OSバージョン、セキュリティソフトの稼働状況など)といったコンテキストに基づいて動的に行われます。
SWG (セキュアWebゲートウェイ): すべてのWeb通信をリアルタイムで検査し、マルウェア感染やフィッシングサイトへのアクセスをブロックします。
- CASB (クラウドアクセスセキュリティブローカー): SaaSの利用状況を可視化・制御し、シャドーITの発見やSaaS上のデータ保護を行います。
- DLP (情報漏洩防止): WebやSaaS経由での機密データの意図しない流出を防ぎます。
- FWaaS (Firewall as a Service): SWGが主にWeb通信(HTTP/S)といったアプリケーション層(L7)の制御に重点を置くのに対し、FWaaSは、より広範な通信をポートやプロトコル(TCP/UDP)、IPアドレスといったネットワーク層(L3/L4)で制御します。各拠点にファイアウォールを設置する手間とコストを削減します。
- サンドボックス: 未知のファイルを安全な仮想環境で分析し、ゼロデイ攻撃などの高度な脅威を検知します。
プライベートアプリへのセキュアなアクセス(ユーザーから内部へ)
データセンターやIaaS上に構築された社内システムへ、安全にアクセスするための機能です。従来のVPNの役割を、よりセキュアな形で代替します。
- ZTNA (ゼロトラストネットワークアクセス): ユーザーを「ネットワーク」ではなく「特定のアプリケーション」に直接接続させる仕組みです。これもデバイスの状態など厳密なコンテキスト評価に基づいて接続が許可されるため、従来のVPNが抱えていた特定の課題を解消し、より強固なセキュリティを実現します。
- 攻撃対象領域の最小化: アプリケーションをインターネット上に直接公開しないことで、攻撃対象領域(アタックサーフェス)を大幅に削減できます。
- ラテラルムーブメントの防止: 万が一ユーザーが侵害されても、アクセスが許可されたアプリ以外には移動できないため、被害の横展開(ラテラルムーブメント)を防ぎます。
SASE/SSEを補完する内部脅威対策(East-West通信)
SASE/SSEが主にNorth-South通信を保護するのに対し、データセンターやクラウド内部のサーバー間通信(East-West通信)は、マイクロセグメンテーションやCWPP(Cloud Workload Protection Platform)といった技術が担います。これらはSASE/SSEと連携し、侵入後の脅威の水平移動(ラテラルムーブメント)を防ぐために不可欠であり、包括的なゼロトラスト戦略を完成させます。対象はオフィス内のLANからデータセンター、クラウドまで多岐にわたります。
- オンプレミスLANのゼロトラスト化: 従来のLANセキュリティは、有線ではVLANによる大まかな分割、無線では強力なパスワード(WPA2/3など)によるアクセス制限に重点が置かれていました。しかしゼロトラストでは、LAN自体を「信頼できないネットワーク」と捉えます。そのため、有線・無線を問わず、不要なデバイス間の直接通信を原則としてブロックし、業務上必要な通信(例:複合機へのアクセスなど)のみを明示的に許可するアプローチが推奨されます。具体的には、無線LANではアクセスポイントのクライアントアイソレーション機能、有線LANではスイッチのポート分離機能(プライベートVLANなど)を活用します。これにより、仮に一つのデバイスがマルウェアに感染した場合でも、同一ネットワーク内の他のデバイスへの感染拡大のリスクを大幅に低減させます。各デバイスはSSEクライアントによって個別に保護されるため、LANの物理的なセキュリティに過度に依存する必要がなくなるのです。
- データセンターおよびクラウドのワークロード保護: データセンターやIaaS環境では、VPC/VNet内やリージョン間のサーバー間通信、あるいはコンテナ間の通信も保護対象となります。これらのワークロード間の通信にもゼロトラストの原則を適用し、アプリケーションのアイデンティティに基づいて通信を許可します。不要な通信経路をすべてブロックすることで、クラウドインフラ内でのラテラルムーブメントを阻止します。
すべてのアクセスを支えるエンドポイント保護との連携
ゼロトラストでは、「誰が」アクセスしているかだけでなく、「どのようなデバイスが」アクセスしているかも厳しく評価します。EDR (Endpoint Detection and Response) などでデバイスの健全性(OSが最新か、不審なプロセスが動いていないか等)を常に監視し、その情報をアクセスポリシーに連携させます。もしデバイスがマルウェアに感染したと判断されれば、SASE/SSEプラットフォームは自動的にそのデバイスからのアクセスを遮断します。このように、エンドポイント保護は、ネットワークアクセス制御の判断精度を高める上で不可欠な要素です。
まとめ
かつてネットワークセキュリティの中心は、ファイアウォールやVPNで社内外を隔てる「境界型防御」でした。しかし、働く場所や使うアプリが多様化した今、その境界は曖昧になり、従来型の対策だけでは不十分になっています。
これからのセキュリティの主役は、社内外を区別せず、すべてのアクセスを検証する「ゼロトラスト」という考え方です。SASEやSSEといったクラウドベースのソリューションを活用することで、ユーザーがどこにいても、どのデバイスからアクセスしても、一貫したセキュリティポリシーを適用できます。これは、守るべき対象が「境界」から「ユーザーとデータ」そのものへと移ったことを意味します。
自社の状況に合わせて従来型の対策とゼロトラストのアプローチを適切に組み合わせ、段階的に移行を進めることが成功の鍵です。技術の導入だけでなく、従業員のセキュリティ意識向上も含めた継続的な取り組みが、変化し続ける脅威から組織を守るために不可欠です。
Zscalerで組織のネットワークを保護
本記事で解説した「従来の対策」が持つ課題を解決し、「これからの戦略」で示した4つの主要領域を包括的に実現するのが、クラウドネイティブなZscaler Zero Trust Exchange™プラットフォームです。
インターネットとSaaSへのセキュアなアクセス
Zscaler Internet Access™ (ZIA)は、世界最大規模のセキュリティ クラウドを基盤とするクラウドネイティブなセキュリティ サービス エッジ(SSE)ソリューションです。1日あたり500百兆のシグナルに基づく脅威インテリジェンスによって以下を実現します。
- ハイブリッド ワーカーに一貫した保護を提供: 場所を問わず、すべてのユーザーにコンテキストベースの一貫したポリシーを適用し、すべてのユーザー、アプリ、デバイスを保護します。
- インフラ不要の高速アクセス: クラウドへの直接接続アーキテクチャーにより、バックホールを排除し、パフォーマンス向上と管理の簡素化を実現します。
- AIによる高度な保護: インライン検査とAI活用型のクラウド セキュリティにより、ランサムウェアやゼロデイ攻撃といった高度な脅威からユーザーを保護します。
プライベートアプリへのセキュアなアクセス
Zscaler Private Access™ (ZPA)は、世界で最も導入されているゼロトラスト ネットワーク アクセス(ZTNA)ソリューションの一つです。迅速な導入が可能で、従来のVPNやリモート アクセスツールを置き換え、以下を実現します。
- 攻撃対象領域を最小化:アプリをインターネットから不可視化し、外部から侵入されないようにします。
- ラテラル ムーブメントを阻止:ネットワークではなくアプリ単位でセグメント化し、最小特権アクセスを徹底します。
- 侵害ユーザーのリスクを低減:不正利用や進行中の攻撃を検知、阻止し、情報漏洩を防止します。
SASE/SSEを補完する内部脅威対策 (East-West通信)
Zscalerのアーキテクチャは、East-Westトラフィックの保護にも対応し、オンプレミスからクラウドまで、あらゆる場所での脅威の水平移動を阻止します。
- 拠点・LAN内のラテラルムーブメント防止: オフィスや店舗などの拠点(ブランチ)では、Zero Trust for Branch を活用することで、LAN内のデバイス間通信を論理的に分離します。これにより、PCやプリンター、IoTデバイスといった端末間の直接通信をブロックし、万が一いずれかのデバイスが侵害されても脅威がLAN全体に広がるのを防ぎます。
- データセンター・クラウド内のラテラルムーブメント防止: さらに、Zero Trust Cloudを利用すれば、データセンターやパブリッククラウド内のサーバー間・コンテナ間通信もゼロトラストの原則で保護し、ワークロードレベルでのラテラルムーブメントを阻止します。
エンドポイント保護との連携
Zscalerプラットフォームは単体で動作するのではなく、主要なEDR/MDMソリューションとシームレスに連携します。デバイスの健全性(ポスチャー)をリアルタイムに評価し、「信頼できない状態の端末」からのアクセスをポリシーに基づいて自動的にブロックすることで、アクセス制御の精度を飛躍的に高めます。
Zscalerを採用することで、拡張性や俊敏性に優れたクラウド ネイティブのゼロトラスト アーキテクチャーに移行し、従来型のネットワーク セキュリティを超える強力な保護を実現できます。
Zscalerで実現可能なネットワーク セキュリティの詳細は、デモにてご確認ください。
免責事項:このブログは、Zscalerが情報提供のみを目的として作成したものであり、「現状のまま」提供されています。記載された内容の正確性、完全性、信頼性については一切保証されません。Zscalerは、ブログ内の情報の誤りや欠如、またはその情報に基づいて行われるいかなる行為に関して一切の責任を負いません。また、ブログ内でリンクされているサードパーティーのWebサイトおよびリソースは、利便性のみを目的として提供されており、その内容や運用についても一切の責任を負いません。すべての内容は予告なく変更される場合があります。このブログにアクセスすることで、これらの条件に同意し、情報の確認および使用は自己責任で行うことを理解したものとみなされます。
