ネットワークパケットブローカーこれらのデバイスはネットワークトラフィックを処理することで、ネットワークパフォーマンス監視やセキュリティ関連監視専用のデバイスなど、他の監視デバイスがより効率的に動作できるようにします。主な機能としては、リスクレベルやパケット負荷を識別するためのパケットフィルタリング、ハードウェアベースのタイムスタンプ挿入などがあります。
ネットワークセキュリティアーキテクトこれは、クラウドセキュリティアーキテクチャ、ネットワークセキュリティアーキテクチャ、およびデータセキュリティアーキテクチャに関連する一連の責任を指します。組織の規模によっては、各ドメインに1人の担当者を置く場合もあれば、組織が監督者を選任する場合もあります。いずれにせよ、組織は誰が責任者であるかを明確にし、ミッションクリティカルな意思決定を行う権限を与える必要があります。
ネットワークリスク評価とは、内部または外部の悪意のある攻撃や誤った攻撃によってリソースが接続される可能性のある方法を網羅的にリストしたものです。包括的な評価を行うことで、組織はリスクを明確にし、セキュリティ対策を通じてリスクを軽減することができます。これらのリスクには、以下のようなものが含まれます。
- システムやプロセスに対する理解不足
- リスクレベルの測定が困難なシステム
- ビジネスおよび技術的なリスクに直面する「ハイブリッド」システム
効果的なリスク見積もりを作成するには、IT部門とビジネス部門の関係者が協力してリスクの範囲を理解することが不可欠です。最終的なリスクセットを作成することと同様に、協力してより広範なリスク状況を把握するためのプロセスを構築することも重要です。
ゼロトラストアーキテクチャ(ZTA)ZTAは、ネットワーク上の訪問者の中には危険な者もおり、アクセスポイントが多すぎて完全に保護することは不可能であるという前提に基づいたネットワークセキュリティパラダイムです。そのため、ネットワーク自体ではなく、ネットワーク上の資産を効果的に保護します。ZTAはユーザーに関連付けられているため、アプリケーション、場所、ユーザー、デバイス、期間、データの機密性など、コンテキスト要因の組み合わせに基づいて計算されたリスクプロファイルに基づいて、各アクセス要求を承認するかどうかを決定します。名前が示すように、ZTAは製品ではなくアーキテクチャです。購入することはできませんが、ZTAに含まれるいくつかの技術要素に基づいて開発することは可能です。
ネットワークファイアウォールネットワークファイアウォールは、ホストされている組織アプリケーションやデータサーバーへの直接アクセスを防止するために設計された一連の機能を備えた、成熟した実績のあるセキュリティ製品です。ネットワークファイアウォールは、内部ネットワークとクラウドの両方に柔軟性を提供します。クラウド向けには、クラウド中心のソリューションに加え、IaaSプロバイダーが同様の機能を実現するために展開する手法もあります。
セキュアウェブゲートウェイインターネット帯域幅の最適化から、インターネットからの悪意のある攻撃からユーザーを保護することへと進化を遂げてきました。URLフィルタリング、ウイルス対策、HTTPS経由でアクセスされるウェブサイトの復号化と検査、データ漏洩防止(DLP)、および限定的なクラウドアクセスセキュリティエージェント(CASB)は、現在では標準機能となっています。
リモートアクセスVPNへの依存度は低下しつつあり、ゼロトラストネットワークアクセス(ZTNA)への依存度が高まっている。ZTNAは、ユーザーが資産から見えないようにコンテキストプロファイルを使用して個々のアプリケーションにアクセスできるようにするものである。
侵入防止システム(IPS)IPSデバイスをパッチ未適用サーバーに接続して攻撃を検知・ブロックすることで、パッチ未適用の脆弱性を悪用した攻撃を防ぎます。現在ではIPS機能は他のセキュリティ製品に組み込まれていることが多いですが、スタンドアロン製品も依然として存在します。クラウドネイティブ制御の普及に伴い、IPSは徐々にその重要性を増しています。
ネットワークアクセス制御ネットワーク上のすべてのコンテンツへの可視性と、ポリシーベースの企業ネットワークインフラストラクチャへのアクセス制御を提供します。ポリシーは、ユーザーの役割、認証、またはその他の要素に基づいてアクセスを定義できます。
DNSクレンジング(ドメインネームシステムのサニタイズ)これは、組織のドメインネームシステムとして機能し、エンドユーザー(リモートワーカーを含む)が評判の悪いサイトにアクセスするのを防ぐ、ベンダーが提供するサービスです。
DDoS対策(DDoS緩和)この製品は、分散型サービス拒否攻撃によるネットワークへの破壊的な影響を抑制します。ファイアウォール内部のネットワークリソース、ネットワークファイアウォールの前面に配置されたリソース、そしてインターネットサービスプロバイダやコンテンツ配信サービスなどの組織外部のリソースなど、ネットワークリソースを保護するために多層防御アプローチを採用しています。
ネットワークセキュリティポリシー管理(NSPM)ネットワークセキュリティを規定するルールを最適化するための分析と監査、変更管理ワークフロー、ルールテスト、コンプライアンス評価、および視覚化が含まれます。NSPMツールは、視覚的なネットワークマップを使用して、複数のネットワークパスをカバーするすべてのデバイスとファイアウォールアクセスルールを表示できます。
マイクロセグメンテーションこれは、既に発生しているネットワーク攻撃が水平方向に拡大して重要な資産にアクセスするのを防ぐ技術です。ネットワークセキュリティのためのマイクロアイソレーションツールは、次の3つのカテゴリに分類されます。
- ネットワーク層に展開されるネットワークベースのツールで、多くの場合、ソフトウェア定義ネットワークと連携して、ネットワークに接続された資産を保護します。
- ハイパーバイザーベースのツールは、ハイパーバイザー間を移動する不透明なネットワークトラフィックの可視性を向上させるための差分セグメントの原始的な形式です。
- ホストエージェントベースのツールは、ネットワークの他の部分から隔離したいホストにエージェントをインストールします。ホストエージェントソリューションは、クラウドワークロード、ハイパーバイザーワークロード、物理サーバーで同様に機能します。
セキュアアクセスサービスエッジ(SASE)SASEは、SWG、SD-WAN、ZTNAといった包括的なネットワークセキュリティ機能と、組織のセキュアアクセスニーズをサポートする包括的なWAN機能を統合した、新たなフレームワークです。フレームワークというよりは概念に近いSASEは、ネットワーク全体にわたって拡張性、柔軟性、低遅延性を備えた機能を提供する、統一されたセキュリティサービスモデルを目指しています。
ネットワーク検出・対応(NDR)これらのツールは、送受信トラフィックとトラフィックログを継続的に分析して正常なネットワーク動作を記録し、異常を特定して組織に警告を発します。機械学習(ML)、ヒューリスティクス、分析、ルールベースの検出を組み合わせたものです。
DNSセキュリティ拡張機能DNSSECはDNSプロトコルの拡張機能であり、DNS応答を検証するために設計されています。DNSSECのセキュリティ上の利点を享受するには、認証されたDNSデータへのデジタル署名が必要であり、これはプロセッサ負荷の高い処理です。
サービスとしてのファイアウォール(FWaaS)FWaaSは、クラウドベースのSWGSと密接に関連する新しい技術です。違いはアーキテクチャにあり、FWaaSはネットワークのエッジにあるエンドポイントとデバイス間のVPN接続、およびクラウド上のセキュリティスタックを介して動作します。また、VPNトンネルを介してエンドユーザーをローカルサービスに接続することもできます。FWaaSは現在、SWGSに比べて普及率ははるかに低いです。
投稿日時:2022年3月23日
