米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は1月24日、組織のネットワークセキュリティの強化を推奨する一貫として、ネットワークセグメンテーションを実装することの重要性を強調するインフォグラフィックを公開した。

「Layering Network Security Through Segmentation(セグメンテーションによるネットワークセキュリティの階層化)」と題したこのインフォグラフィックでは、ネットワークを複数のセグメントに分割し、それぞれを独自のサブネットワークとして機能させることで、サイバー攻撃によって引き起こされるリスクを軽減するアプローチを推奨している。

ネットワークのセグメンテーションは、古くからセキュリティを強化するための効果的な手法として採用されてきた。このアプローチでは、サブネットワーク間の通信を制限し、ファイアウォールとDMZ(非武装地帯)を設けてそれぞれのサッ部ネットワークを適切に保護することで、悪意のある攻撃者による重要度の高い資産へのアクセスを防止する。万が一侵害された場合に、組織のシステム全体に被害が拡がるのを防ぐ効果もある。

CISAが公開したインフォグラフィックでは、ネットワークのセグメンテーションを実装していない場合と実装した場合のアーキテクチャの違いを図示している。

  • ネットワークのセグメンテーションの実装例

    ネットワークのセグメンテーションの実装例

この図では、攻撃者がネットワークを侵害するために必要な労力が黄色から赤で色分けして示されている。黄色が侵害が容易で、赤が侵害の難易度が高いセグメントを示す。適切なセキュリティ強化のために、CISAではネットワークのセグメンテーションを次のように実装することを推奨している。

  • 価値の高い資産やOT(オペレーショナルテクノロジー)システム用に、セグメント化された高セキュリティゾーンを設ける
  • ファイアウォールによるアクセス制御を使用して、このゾーン内のデバイスへのアクセスを保護する
  • 高セキュリティゾーン内に作業用のDMZを設ける
  • DMZ内の特定のデバイスのみが、指定された接続を介してのみ保護された資産に接続できるようにする
  • 特定のユーザー/デバイスのみが、DMZ内のデバイスにリモート接続して保護されたサーバにアクセスできるようにする
  • リモートアクセス制御によってITネットワークへのデータトラフィックを制限する