ネットワーク・セキュリティーの計画

ネットワーク計画の中では、おそらく、ネットワーク・セキュリティーが最も重要、かつ 困難な局面です。ネットワーク接続は、不当なトラフィックの進入を防ぎ、許可されたトラフィックだけを通す必要があります。

始める前に
__ ネットワークへのエントリー・ポイントのリストを作成する。
__ ネットワーク・セキュリティー・ポリシーが準拠する、企業のセキュリティー・ポリシーを作成する。 機密情報へのアクセス・ポリシー、すなわち、違反した場合に誰が、どのようなアクションをとるかが含まれます。
ネットワーク・セキュリティーの計画作業
__ ネットワーク・セキュリティー・ポリシーの作成
企業のセキュリティー・ポリシーから始め、次にネットワーク・セキュリティー・ポリシーを作成します。以下の点をお勧めします。
  • ファイアウォールの作成

    適切なセキュリティー・ポリシーにはどれも、ファイアウォールの使用が含まれ、ネットワークに出入りするトラフィックをフィルターします。ファイアウォールは、使用するプロトコルに従って データを制限し、プロトコルが通過しようとしているポートにマッチしない場合は、その トラフィックを強制終了する必要があります。ファイアウォールはまた、ポートの オープンを厳しく制限し、侵入者が企業のネットワークに入り込むのを防止する必要が あります。

  • 機密情報の分離

    機密情報を持っているシステムは すべて、外部からの直接アクセスが可能であってはいけません。また、そのようなシステム へのアクセスは、内部からのものも制限すべきで、認証済みユーザーのみをアクセス可能に する必要があります。

  • 非武装地帯 (DMZ) の作成

    非武装地帯 (DMZ) とは ファイアウォールの外側の領域で、ネットワークを危険にさらすことなく、トランザクション を発生させることができる領域です。ネットワークへの匿名アクセスはすべて、非武装地帯 にとどめる必要があります。

  • 認証方式の作成

    認証とは、ネットワーク・ドメインにアクセスするためにユーザー ID とパスワード、または何らかの形式の認証ベースでの 確認を要求するプロセスです。企業のイントラネットへの直接アクセスはすべて、認証が必要です。 ファイアウォールを通過する直接アクセスもすべて、認証が必要です。 ユーザー ID と パスワードについては最良実施例に従うように計画します。この計画には、長いパスワード (8 文字以上)、混合パスワード (文字、数字、大文字、小文字の組み合わせ)、および、定期的に変更するパスワード (2 カ月または 3 カ月ごと) が含まれます。

  • 暗号化システムの開発

    暗号化とは、 すべてのデータをコードに変換する処理で、このコードはシステムの秘密鍵および公開鍵を使用してのみ解読できます。企業のネットワークから外部に 出る機密データはすべて、暗号化する必要があります。リモート・オフィスから 企業のネットワークに入ってくる機密データも同様に、暗号化する必要があります。

  • ソーシャル・エンジニアリングを防ぐシステムの構築

    ソーシャル・エンジニアリングとは、電話で、信頼できる個人の名前を使用して、パスワードや企業の組織情報などの機密情報を収集するプロセスです。 これは、ハッカーがネットワークへのアクセスを取得するために使用する共通の手法です。 電話でこのような情報を外部に決して出さないように従業員を教育することが、 このタイプのセキュリティー・ブリーチに対する唯一の防衛です。

ネットワーク・セキュリティー・ポリシーの作成方法を確認するに は、IP ネットワーク設計ガイド (IP Network Design Guide)PDF へのリンク にある IP セキュリティーに関する章を参照してください。
__ IP セキュリティー・アーキテ クチャーの計画 IP Security Architecture (IPSec) は、以下の機能 を提供するオープンな、標準ベースのセキュリティー・アーキテクチャーです。
  • データ保全性 (不適格なデータに基づくアタックを防止する)
  • リプレイ保護 (メッセージのリプレイに基づくアタックを防止する)
  • 暗号鍵のセキュアな作成および自動リフレッシュ
  • 強力な暗号アルゴリズム
  • 証明書に基づく認証
IPSec には、いくつかのプロトコルが含まれており、それぞれが以下の機能の 1 つを 実行します。多くのセキュリティー製品が、IPSec を基本アーキテクチャーとして使用します。

IPSec に関す る詳細を確認するには、IP ネットワーク設計ガイド (IP Network Design Guide)PDF へのリンク の IP セキュリティーに関する章を参照してください。
__ 仮想プライベート・ネット ワークの計画

仮想プライベート・ネットワーク (VPN) は IPSec を使用して、イ ンターネットのようなパブリック・ネットワークを介して、セキュアなプライベート接続またはトンネルを作成します。 通常のインターネット接続を VPN に変えるために、各プラットフォームでいくつかのツールが使用可能です。リモート・ユーザー、営業所、および企業パートナーの間の通信の 必要性を考慮すると、VPN は企業ネットワークのリモート・ノード間の情報を暗号化したり 認証するための重要な手段です。

VPN のインプリメントに関する詳細を確認するには、IP ネットワーク設計ガイド (IP Network Design Guide)PDF へのリンク の IP セキュリティーに関する章を参照してください。
__ ウィルスおよびスパイウェア防止の計画

ウィルスや その他の有害なソフトウェア (破壊工作ソフトと呼ばれる) は、自身を正当なビジネス・コンテンツに偽装し、企業ネットワークに進入した後で悪意ある活動を実行します。 破壊工作ソフト (マルウェア) は、ネットワーク・セキュリティー違反の最も普及した形式です。ネットワーク上の各ホストは、週次で更新し、少なくとも週次で実行するアンチウィルス・アプリケーションやアンチスパイウェア・アプリケーションを備えている必要があります。これらのプログラムは、マルウェアがネットワーク上に複製を作成する前に 阻止するように設計されています。

ウィルスとスパイウェア感染の防止方法を確認するには、IP ネットワーク設計ガイド (IP Network Design Guide)PDF へのリンク にある IP セキュリティーに関する章を参照してください。

ここで示されている作業が完了すると、 以下の要素が確認されたネットワーク・セキュリティー計画ができたことになります。

__ ネットワーク・セキュリティー・ポリシーを記録する。ここには、ファイアウォール、非武装地帯、機密情報へのアクセス・ルール、認証、暗号化、およびソーシャル・エンジニアリングへの対抗教育が含まれます。
__ トポロジーにセキュリティー・アーキテクチャーを記録する。ここには、 認証済みアクセスが必要な領域、ファイアウォールで保護されている領域、非武装地帯の接続位置、および VPN を使用するリモート・ユーザーやリモート・オフィスが含まれます。
__ アンチウィルスやアンチスパイウェア・アプリケーションなど、ホスト・マシンにロードする計画があるものをリストに記録する。週次更新用のポリシーを作成する。また、 ホストを構成して、アプリケーションを自動的に、少なくとも週次で実行する。
親トピック: ネットワーキング・コミュニケーションの計画
フィードバックの送信 | このページの評価