ネットワークの「ゾーニング」
ネットワークのセキュリティ管理もオフィスセキュリティのゾーニングに似た考え方が妥当します。つまり、誰でも出入りできる場所とそうではない場所を区分するのです。
まずは、インターネットの領域。ここはどなたでも出入りできます。次に社内ネットワーク。ここはアクセスを許された人しか利用できません。
第三の領域「DMZ」
ネットワークには、インターネットと社内ネットワークの中間領域を設ける必要があります。情報を対外的に公開したいので外からのアクセスを認めないわけにはいけない、しかし、全く自由にアクセスされても困る、という領域があるからです。
具体的には、Webページの内容を保管・公開するWebサーバーや、ファイルの受渡しを行なうFTPサーバーなどが該当します。
オフィスの宅急便の受渡しをするような場所をイメージするといいです。
このような中間領域をDMZ(DeMilitarized Zone 非武装地帯)といいます。
VPNは地下トンネル
拠点が複数ある会社が拠点間のネットワークを安全に接続したい場合はどうすればよいのでしょうか?もちろん、隔地間を専用線を引っ張ってつなげば安全でしょう。しかし、お金がとてもかかりそうですよね。
そこで、離れた場所の通信は誰にも開かれているインターネットを利用するけれども、隔地間通信には部外者の侵入を防ぐという技術があります。
これをVPN(Virtual Private Network)といいます。建物の間を部外者には知られていない秘密の地下トンネルを使って行き来するイメージです。
ファイアーウォールはガードマンのいる門
オフィスにおいてはゾーンとゾーンをパーティション(ついたて)やドアで区切りますが、ネットワークでこのような区切りの役割を果たすのがファイアーウォール(防火壁)という機器です。
ファイアーウォールは許されていない通信を遮断してくれます。ビルの入り口の門のイメージです。
IDSは監視カメラ、IPSはガードマン
ネットワーク上のデータの流れを監視するのがIDS(Intrusion Detection System 侵入検知システム)です。ファイアーウォールの設定ミスなどをついて不正に侵入しようとするものがいたときに警報をならしてくれる監視カメラのような機器です。
監視カメラが泥棒を捕まえてくれないように、IDSも不正な侵入を遮断してくれません。不正アクセスを遮断する機能がついた機器をIPS(Intrusion Prevention System 侵入防止システム)といいます。
ところで、ファイアーウォールだのIPSだのいろいろでてきて、実際に機器を設置する場面を想像するとなんだかごちゃごちゃしてきますよね。
実際、ネットワークセキュリティを1台で実現することを売りにした機器があります。UTM(Unified Threat Management)とか次世代ファイアーウォールなどと呼ばれています。(いずれも商品名なので試験にそのまま出るかは分かりませんが流行っていますので一応ご紹介しました。)