EN

NRIセキュア ブログ

金融庁サイバーセキュリティガイドラインで求められる「ネットワークセグメンテーション」を実現する3つの方法

目次

    金融分野におけるサイバーセキュリティに関するガイドラインで求められる「ネットワークセグメンテーション」の実現方法

    ネットワークセグメンテーションとは、ネットワークを業務要件やセキュリティ要件に応じて、複数のセグメントまたはサブネットに分割し、それぞれを小さなネットワークとして機能させる設計方法のことを指します。ネットワークセグメンテーションを適切に行うことで、ランサムウェア等のマルウェアが外部から内部ネットワークへ侵入してしまった場合、影響範囲の規模を狭めることができるのが特徴です。

     

    本記事では、2024年10月に金融庁より公開された「金融分野におけるサイバーセキュリティに関するガイドライン(以下、金融セキュリティガイドライン)」[1]で求められる「ネットワークセグメンテーション」について、その実現方法を3つご紹介します。

     

    金融セキュリティガイドラインの概要に関しては下記のブログにてご紹介しておりますので、本ブログでは「ネットワークセグメンテーション」に特化して記載します。

     

    金融分野におけるサイバーセキュリティに関するガイドラインにて求められる「ネットワークセグメンテーション」とは?

    金融セキュリティガイドラインの中で、ネットワークセグメンテーションについて記載されている主な箇所を抜粋してみます。

     

    ランサムウェア等のマルウェアが侵入してしまった場合、内部ネットワークを適切にセグメンテーションできているかによって影響範囲の規模が大きく異なります。また、内部不正を防止するためにも内部ネットワークセグメンテーションは有効な対策です。

     

    そのため、金融セキュリティガイドラインでは内部と外部の境界防御のセグメンテーションだけではなく、内部ネットワークに対しても適切なセグメンテーションが求められています。

    「リスクの特定・評価」項におけるセグメンテーションに対するポイント
    金融分野におけるサイバーセキュリティに関するガイドライン

    出所:金融庁「金融分野におけるサイバーセキュリティに関するガイドライン」p.14

     
    「サイバー攻撃の防御」項におけるセグメンテーションに対するポイント
    金融分野におけるサイバーセキュリティに関するガイドライン P19

    出所:金融庁「金融分野におけるサイバーセキュリティに関するガイドライン」p.19

     
    「インフラストラクチャ(ネットワーク等)の技術的対策」項におけるセグメンテーションに対するポイント
    金融分野におけるサイバーセキュリティに関するガイドライン P24~P25

    出所:金融庁「金融分野におけるサイバーセキュリティに関するガイドライン」p.24-25

     ネットワークセグメンテーションの実現方法

    ネットワークセグメンテーションを実現する方法として、3パターンの方法をご紹介します。

    2-1.VLANを用いた実現方法

    ネットワークセグメンテーションとして最も一般的な方法は、VLAN技術です。企業がネットワーク構成を考える際、一般的には必要な権限のグループごとにVLANに分けます。このような設計を行うことで、異なるVLAN間では制御された通信のみ行うように制御が可能です。

     

    このVLAN技術でもネットワークセグメンテーションの要件を満たすことは可能ですが、注意点があります。それは、VLANの構成を設計するのは企業ネットワークの構築時であり、その後年月が経過してもVLANの設計を見直すことは少ない点です。少ない理由には、VLANの設計が現在も正しいネットワークセグメンテーションとして成り立っているのか調査する機会が少ないこと、そして既存で運用が始まってしまっており社内ネットワークを停止させて切り替えるのは影響が大き過ぎることなどが挙げられます。

     

    以上より、クラウドサービスの利用、IoT機器の利用など日々変化するネットワーク状況に対応してVLAN設計を見直していくのは、非常に手間のかかる対応策になると考えられます。

    VLANを用いたネットワークセグメンテーションVLANを用いたネットワークセグメンテーション

    2-2.ファイアウォールを用いた実現方法

    次にご紹介するのは、ファイアウォールを用いて実現する方法です。現在、ファイアウォールとしては次世代ファイアウォール(L7FW) が主流となっており、多くの企業で導入されているかと思います。しかし、会社に導入された次世代ファイアウォールのほとんどはインターネットゲートウェイの前段に配置され、最低限のセキュリティセグメンテーションのみを行う設定となります。

     

    金融庁セキュリティガイドラインで求められるようなネットワークセグメンテーションを実現する場合、次世代ファイアウォール(L7FW)を会社内の全ての境界に配置することが必要です。

     

    社内に多くの次世代ファイアウォール(L7FW)が点在していると設定管理に苦慮するイメージがあるかもしれませんが、現在は複数のNGFWを統合管理するツールもリリースされており、実現可能な方法となります。また、次世代ファイアウォールを通過する通信にはアンチウィルス/スパイウェア、脆弱性防御の検査を行うことができるため、単なるネットワークセグメンテーション以上に強固な構成を実現可能です。そして、次世代ファイアウォール(L7FW)のアプライアンス製品にはサポート期間(EOL)が定められており、数年おきに製品更改が発生するデメリットもあります。

     

    しかし、VLAN同様に既存で運用が始まってしまっている社内ネットワークを停止させて切り替えるのは影響が大きいというデメリットが存在します。また、次世代ファイアウォール(L7FW)はネットワーク製品の中で非常に高価な部類であり、スイッチ機器のように多くを会社内へ配置させるには高額な費用が発生します。そして、前述の通りサポート期間(EOL)もあるため、更改にも高額な費用が発生します。

    ファイアウォールを用いたネットワークセグメンテーションファイアウォールを用いたネットワークセグメンテーション

    2-3.エージェント型ネットワークセグメンテーション製品を用いた実現方法

    最後にご紹介する方法は、エージェント製品を用いた実現方法です。エージェント型ネットワークセグメンテーション製品とは、新たなネットワークセグメンテーション製品を各サーバー、PC端末に導入することで、端末自身で通信制御を行いネットワークセグメンテーションを実現する製品です。

     

    最大のメリットは、既存のネットワーク構成を変更せずに導入することができる点です。同じサブネット内、同じVLAN内に存在する端末同士でも、エージェント型ネットワークセグメンテーション製品であれば通信制御を行うことができます。エージェント型ネットワークセグメンテーション製品は独自の論理グループを定義するため、セグメンテーション方法を変更する場合も管理コンソール内での作業で完結することができます。

     

    しかし、エージェント型の製品のため各サーバー、各PC端末にエージェントを導入する手間が発生します。また、エージェントを導入することができないIoT機器やプリンターなどの業務機器は通信制御できない点がデメリットとなります。

    エージェント型ネットワークセグメンテーション製品を用いたネットワークセグメンテーション06

    まとめ

    今回は金融セキュリティガイドラインにて求められるネットワークセグメンテーションを実現する3パターンの制御方法をご紹介しました。

    実現方法

    メリット

    デメリット

    ①VLANを用いた方法

    • •最低限のネットワークセグメンテーションを実現
    • •スイッチのみで対応可能なため、費用を抑えられる
    • •運用中のネットワーク環境を変更する必要がある
    • •見直しをする場合、都度高負荷がかかる

    ②ファイアウォールを用いた方法

    • •NGFWを用いることで、アンチウィルス/スパイウェア、脆弱性防御の検査が可能
    • •運用中のネットワーク環境を変更する必要がある
    • •複数台のファイアウォールを導入することで、高額な費用が発生

    ③エージェント型ネットワークセグメンテーション製品を用いた方法

    • •既存のネットワーク構成を変更せずに導入可能
    • •管理コンソール内でセグメンテーション方法を変更可能
    • •各サーバー、PC端末にエージェントを導入する手間が発生
    • •IoT機器やプリンターなどの業務機器は通信制御できない

    ランサムウェアによって侵害され被害を受ける影響を最小限に防ぐため、ネットワークセグメンテーションの実現方法は非常に重要なポイントとなります。金融セキュリティガイドラインで求められるネットワークセグメンテーションについての課題は、ぜひとも弊社にご相談頂ければと存じます。

     

    また、エージェント型ネットワークセグメンテーション製品を用いた実現方法の詳細は下記記事をご覧ください。

    [1] https://www.fsa.go.jp/news/r6/sonota/20241004/18.pdf

     

     

    <関連サービス>

    マイクロセグメンテーションソリューション 『illumio』