誰が入ってきて何が出るのか?セキュリティにこだわりたい企業は、実店舗の業務に常識的な監視を組み込んでいます。玄関にカードリーダーを設置したり、夜間に防犯警報装置を作動させたりするなど、慎重な企業は出入り口を常に監視しています。
コンピュータ システムにも同様の注意が必要です。そのため、『セキュリティをはじめよう』では、ネットワークをセグメント化し、誰が出入りしようとしているかを監視するようアドバイスしています。ここでは、FTC の訴訟、非公開調査、企業から寄せられた質問に基づいて、ネットワークをセグメント化し、データ転送のサイズと頻度を監視する利点を示す例を示します。
ネットワークをセグメント化します。
ネットワーク テクノロジーにより、企業はすべてのコンピューター、ラップトップ、スマートフォン、その他のデバイスを同じネットワーク上でリンクすることができます。もちろん、一部のデータ転送をシームレスにする必要がある正当なビジネス上の理由があるかもしれません。しかし、ネットワーク上に特別な扱いに値する機密情報はありますか?
ネットワークをセグメント化する (たとえば、不要なトラフィックを拒否するように構成されたファイアウォールで保護されたネットワーク上の個別の領域を設ける) と、侵害が発生した場合の被害を軽減できます。船の水密コンパートメントのようなものだと考えてください。たとえ一部が損傷しても、船の他の部分に水が浸水することはありません。ネットワークをセグメント化すると、「漏洩」をシステムの限られた部分に隔離することで、その被害を最小限に抑えることができる場合があります。
例: 企業は、顧客の機密情報を含む記録を維持する必要があります。ファイアウォールを使用して、企業 Web サイトのデータを含むネットワークの部分とクライアントの機密情報を含む部分を分離することで、同社は機密データに対するリスクを軽減できる方法でネットワークをセグメント化しました。
例: ある地域小売チェーンでは、店舗間で無制限のデータ接続を許可しています。たとえば、タンパの店舗のコンピュータがサバンナの店舗の従業員情報にアクセスできるようにしています。ハッカーは、ある店内ネットワークのセキュリティ上の欠陥を検出し、企業システムの「オープンゴマ」の側面を悪用して、企業ネットワーク上の機密データにアクセスします。小売チェーンは、ネットワークをセグメント化して、1 か所の脆弱性が企業ネットワーク全体を危険にさらさないようにすることで、初期のセキュリティ失効の影響を軽減できた可能性があります。
例: ある大手コンサルティング会社は、自社のネットワークを機密性の高い側とそうでない側に分類しています。ただし、機密側の資格情報には、非機密側からアクセスできます。したがって、同社はデータ窃盗者が機密情報にアクセスしやすくすることで、セグメンテーションの取り組みを台無しにしてしまいました。
ネットワーク上のアクティビティを監視します。
ネットワーク セキュリティのもう 1 つの重要なコンポーネントは、アクセス、アップロード、ダウンロードを監視し、何か問題があると思われる場合に迅速に対応することです。ビジネスはゼロから始める必要はありません。許可なくネットワークにアクセスしようとする試みについて警告したり、誰かがネットワークにインストールしようとしている悪意のあるソフトウェアを見つけたりするために、多数のツールが利用可能です。これらの同じツールは、大量のデータが不審な方法でシステムから転送されている場合、つまり流出している場合に警告を発します。
例: ある企業は、ネットワークへの侵入を監視するために侵入検知システムをインストールしましたが、発信接続は監視できませんでした。その結果、大量の機密ファイルが未知の外部 IP アドレスに転送されます。同社は、大量のデータの流出にフラグを立てるようにシステムを設定し、フラグを定期的に監視していれば、不正な転送を検出できた可能性があります。
例: 悪意のある従業員が顧客の機密情報を盗むことにしました。同社は、機密データが通常のパターン以外でアクセスされた場合にそれを検出し、大量のデータが予期しない方法でアクセスまたは転送された場合に IT スタッフに警告するためのツールを導入しています。これらの手順により、企業はデータ窃盗犯を捕まえやすくなり、その過程で顧客を保護することができます。
例: ある企業は、1 GB を超えるデータが外部 IP アドレスに流出した場合にフラグを立てるように侵入検知システムを設定しています。システムは、1 日に数百件の誤検知にフラグを立てます。誤検知はあまりにも破壊的であると結論付け、同社は単にアラートをオフにしました。企業がシステムを完全に停止するのではなく、誤検知の問題に対処するためにさらにテストと調整を行うことをお勧めします。
例: 企業は、ネットワーク上の異常なアクティビティ パターンを IT スタッフに警告するために、侵入検知ツールを適切に構成しています。セットアップ プロセス中に、会社は、指定された会社の電子メール アドレスにアラートを送信するようにツールに指示します。そのアドレスを監視するよう割り当てられた IT プロフェッショナルは長期の病気休暇に入り、不在中は電子メール アドレスは監視されません。アラートの迅速な監視を確保できなかったため、同社は侵害が長期間検出されないリスクを増大させました。
企業にとっての教訓は、ハッカーにとって生活が困難になるということだ。データの「おっと」が必ずしも重大な「うーん」にならないように、ネットワークをセグメント化します。すぐにアクセスできるツールを使用して、誰がシステムに侵入し、何が流出しているかを監視します。
シリーズの次は: ネットワークへの安全なリモート アクセス
