サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

クラウドの普及によって変わるセキュリティの「境界防御」



現在の情報セキュリティにおけるネットワーク防御の基本的な考え方に「境界防御(Perimeter Defense)」、あるいは「多重境界防御(Defense in Depth)」というものがあります。

境界防御(多重境界防御)とは

これは、ネットワーク上の外部からの悪意ある攻撃に対して、内部のネットワークとの境目(境界)に障壁を作ることで、攻撃を阻み内部ネットワークの安全性を保つというものです。基本的には企業や組織のITインフラは、現在この考え方に立って設計されています。

例えば、社内には安全なネットワークがあり、その中にファイルサーバやイントラネットサーバ、各種業務系アプリケーションサーバなどが設置されています。そこから社外のインターネット環境に出るところにファイアウォールが設置され、外部からの不正なアクセスや攻撃をすべて防御し、内部ネットワークを安全に保つ仕組みになっています。さらには、それと併せて各サーバやシステムごとにセキュリティ対策ソフトウェアなどを導入し、ネットワーク防御との2本立てて行うケースが一般的です。

これをまとめると以下のようになります。

従来の2つの「防御」

  1. ネットワーク上にファイアウォールを設置し防御
  2. 各サーバにセキュリティ対策ソフトウェアを導入し防御

ここで取り上げている「境界防御」とはもちろん1のことで、従来は専らこれらの二点を主眼としてセキュリティ対策が行われてきました。

しかし、最近はクラウドサービスと呼ばれるインターネット経由でのメールや業務サービスなどのWebブラウザを介した利用を行うケースが多くなってきています。筆者が勤める企業でも、海外拠点含めてメールはすべて大手ITベンダーが提供するクラウドサービスを活用しています。

このようなクラウドサービスの利用が急速に進んでいる背景としては、自社内にサーバを設置する必要がないため運用面でのコストとリスクを低減することが出来ることが挙げられます。その反面、従来はブラウザによるインターネットアクセス以外はメールや業務サービスなどほとんどが社内ネットワークで完結していたものが、様々な業務がインターネット経由でクラウドサービスを活用して行われるようになってきています。

つまり、従来とは比較にならないような様々な情報が外部と内部のネットワーク間でやりとりされるのです。
そうなると、従来からの「境界防御」で防ぐには通信プロトコルが多岐にわたり複雑になりすぎてしまいます。

今求められる「防御」とは?

もう1つクラウド時代の大きな特徴は、内部ネットワークを介さずに直接スマートフォンやタブレットなどでインターネット経由からクラウドサービスを利用するという形が一般的となっていることです。

そうすると従来からの「外部」と「内部」を分ける「境界防御」という考え方自体が成立しなくなってしまいます。つまり、クラウド時代には「境界防御」は以下の二点から、成立しないものとなっているのです。

  • 様々なデータが頻繁に内部と外部を行き来する
  • スマートフォンのように直接インターネット経由でのサービス利用が普及している

では、「境界防御」が効かないとなれば、私たちはどのようなセキュリティ対策で自分を守ればよいのでしょうか。

「境界防御」が意味をなさないとなれば、結局端末側の防御力を高めることになります。端末側の防御を高めるためには、従来から言われてきた「怪しいサイトは見ない」「ウィルス対策ソフトを導入する」などの対策を確実に行うことが必要です。

また、それとは別にハードウェア側で防御を行う方法も研究が進められています。CPUベンダーのIntelでは膨大なセキュリティ関連情報をビッグデータとして活用し、解析を進めた上で脅威を可視化するプロジェクトを進めていますが、この情報を活用してハードウェアのチップセットに脆弱な情報を検知する仕組みを実装できないか研究を進めています。



  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。