お客様へのご提案
オープンでセグメント化されていないネットワークはサイバー攻撃者への贈り物です。
攻撃者が最も脆弱なエントリポイントを見つけると、「お菓子屋さんにいる子どものように」興奮して悪用しまうかもしれません。製品の設計やレシピ、機械の制御、会社の財務など、ネットワークの大部分や、ネットワークに接続されている可能性のあるものすべてに、より簡単にアクセスできるようになる可能性があります。
また、セグメント化されていないネットワークに危険をもたらすのは、外部の脅威だけではありません。不満を抱く従業員であれ、不正確なシステム変更のような人為的エラーであれ、内部の脅威は、ネットワーク境界やアクセス制限がない場合に大混乱を引き起こす可能性があります。
これが、ネットワークセグメンテーションがすべての企業の産業セキュリティ戦略の一部であるべき理由です。
ネットワークセグメンテーションは、ネットワークを複数の小さなネットワークに分割し、信頼ゾーンを確立できるようにします。これは、外部のセキュリティ脅威のアクセスを制限し、それらが引き起こす損害を封じ込めるのに役立ちます。
また、従業員とビジネスパートナが必要なデータ、資産、またはアプリケーションのみにアクセスできるようにします。
セグメンテーションのレベル
仮想LANまたはVLANは、最も一般的にネットワークセグメンテーションに関連付けられています。これらは、切換え式ネットワーク内に存在するブロードキャストドメインです。これらによって、物理的ではなく、機能、アプリケーション、または組織などによって論理的にネットワークをセグメント分けできます。
VLANは、2つの方法でデバイスとデータを保護できます。まず、特定のVLANが他のVLAN内のデバイスと通信するのをブロックできます。次に、セキュリティとフィルタリング機能を備えたレイヤ3スイッチまたはルータを使用して、VLANを介して相互にやりとりするデバイスの通信を保護できます。
ただし、VLANはセグメンテーションの重要な部分ですが、それらは1つのソリューションにすぎません。また、ネットワークアーキテクチャのさまざまなレベルで他のセグメンテーション方法を使用する必要があります。
1つの例は、産業非武装地帯(IDMZ)の使用です。それは、企業と製造や産業ゾーンの間にバリアを作ります。2つのゾーンの間のすべてのトラフィックはこのバリアで終了しますが、データはセキュアに共有できます。
使用を検討する他のセグメンテーション方法には、アクセス制御リスト(ACL)、ファイアウォール、仮想プライベートネットワーク(VPN)、一方向トラフィックリトリクタ、および侵入保護および検出サービス(IPS/IDS)があります。
総合的に考える
ネットワークセグメンテーションを実装するときは、組織全体に適用する方法を検討してください。
一部の企業は、個々の施設に専用のファイアウォールを作成しています。しかし、これはセキュリティの「島々」につながる可能性があります。施設ごとにファイアウォールが異なるため、それらを一貫した方法で展開したり、一元的に管理したりすることは困難です。
また、企業の長期的なニーズ内でのセグメンテーションについて考えることも重要です。
専用のセキュリティソリューションは厳格すぎる場合が多く、今日のニーズを満たすことはできますが、将来の運用またはセキュリティニーズを満たすためにビジネスを柔軟に展開することはできません。専用ソリューションも、少数の従業員の専門知識に依存する傾向があります。そして、それらの従業員は、退職した場合に重要なセキュリティまたはメンテナンスの知識を身に付けることができます。
ネットワークセグメンテーションを実装するために使用するソリューションは、運用に合わせて成長できる柔軟性を備えていることが必要です。また、どの施設の適切な作業者でも使用および保守できるように標準化する必要があります。
ヘルプが利用可能
ネットワークセグメンテーションは、よく知られたITコンセプトですが、産業界では依然として定着しています。それを導入している企業は、セグメント化されたデータの管理や、生産運用に合わせて拡張縮小するなど、コネクテッドエンタープライズ全体にそれを適用することにともなって起こる課題を発見しています。
どこから始めるべきか、どのセグメンテーション方法を展開すべきかわからない場合は、無料で利用できるリソースが役立ちます。
Converged Plantwide Ethernet (CPwE)設計ガイドは、開始するのに適した場所です。IDMZ、産業ファイアウォール、およびネットワーク接続に関する注意事項などのトピックに関するガイドは、最新技術と業界のベストプラクティスを使用してセグメンテーションを導入することを支援します。
ガイドは、ロックウェル・オートメーションとシスコ社が共同で開発およびテストしたものであり、ネットワークのセグメント化とセキュリティ保護を支援する他のコラボレーション製品およびサービスの基盤を構築します。当社は、トレーニング、ネットワークとセキュリティサービス、およびテクノロジも提供しています。
Stratix® 5950セキュリティアプライアンスなどのセグメンテーションテクノロジの一部が、Hannover Messe 2018で展示されました。
公開 2018/04/04