第16章. セキュアなネットワークインフラ

ネットワーク・インフラのセキュリティ確保といえば、ビジネス・ネットワークのネットワーク接続、通信、演算子、管理を可能にするハードウェアとソフトウェアを指す。これには、ルーター、スイッチ、無線アクセス・ポイント（WAP）、ケーブル、ファイアウォール、ネットワーク・セキュリティ・デバイス、ネットワーク・オーケストレーションによく使われる管理ソフトウェアなどが含まれる。

IT環境のセキュリティを考えるとき、アプリケーションやオペレーティング・システムのセキュリティに注意が向きがちだが、ネットワーク・インフラなど環境の基本的な構成要素を見落としていることがある。

しかし、ネットワーク・インフラに対する攻撃は、現実にビジネスに影響を与える可能性がある。その脅威には、予期せぬ機能停止を引き起こすサービス拒否（DoS）攻撃や、攻撃者がネットワーク上のトラフィックを自分のコントロールするシステムに迂回させ、傍受、検査、場合によっては変更を可能にする中間者攻撃などがある。

適切なセグメンテーション、アクセス・コントロール、モニタリング、ハードニングが施された強固なネットワークは、攻撃者がネットワーク内を横方向に移動したり、データを流出させたりするのを大幅に妨げ、万が一侵入された場合でも、攻撃者をネットワークの特定エリア内に閉じ込めるのに役立つ。

ネットワーク・セキュリティに特化した書籍は、大小様々なものがある。この短い章では、ネットワークをセキュアにする方法について、あらゆる側面を深く掘り下げることはしない。知っておくべき一般的な概念に焦点を当て、さまざまな攻撃に対してネットワークインフラを強固にするために、自分の環境で採用できるネットワーク管理手法の基本を紹介する。

デバイス・ハードニング

ネットワークデバイスのハードニングは、ネットワークデバイス、ひいては環境の侵害や悪用のリスクを大幅に低減する効果的な方法である。そのためには、デバイスをデフォルトの状態でオンラインにし、その存在を忘れるだけでは不十分である。ハードニングとは、ルーター、スイッチ、WAPを安全に設定することであり、不要なサービスを無効にし、デバイスの設定をデフォルト状態から最適化し（安全な設定ベンチマークの作成）、暗号化を採用し、アクセスを制限し、デバイスにパッチを適用して更新し続けることである。

ファームウェア/ソフトウェア・パッチ

ネットワークデバイスは、脆弱性に対処するために定期的なパッチ適用を必要とするソフトウ ェアやファームウェアを実行している。これは、 よくある誤解で、ファームウェアベースのデバイスは、デスクトップやサーバ、携帯電話のようなデバイスよりも安全で、セキュリティ上の欠陥の影響を受けにくいというものだ。ネットワーク・インフラは、あなたがセキュリテ ィ確保に責任を持つ他のデバイスと同様に、メンテナンスとアップデートが必要なのである。

オペレーティング・システムのパッチとは異なり、ネットワーク・デバイスのパッチ は、ドライバやor演算子のような個々のコンポーネントをインクリメンタルにアップデート するのではなく、システム全体をアップデートする単一のファームウェア・イメージとして提供 されることが多い。つまり、アップグレードは通常、既存のソフトウェアを完全に新しいバージョンに置き換えることであり、デバイスのコンフィギュレーションだけを維持することを意味する。例えば、Cisco、Palo ...