情報セキュリティマネジメント試験 ネットワークセキュリティ・実装技術 完全解説
ネットワークセキュリティの実装技術は、情報セキュリティマネジメント試験(SG)で毎回出題される重要テーマです。 ファイアウォール・WAF・IDS/IPSなどのセキュリティ機器の役割と違い、 無線LANのセキュリティ規格、ゼロトラストの考え方まで、 実際のシステム構成をイメージしながら理解することが合格への近道です。
1. ファイアウォールとネットワーク分離
パケットフィルタリング型ファイアウォール
ファイアウォールは、ネットワーク間の通信を制御するセキュリティ機器・機能の総称です。 最も基本的なパケットフィルタリング型は、通信パケットのIPアドレス・ポート番号・プロトコル(TCP/UDP)を あらかじめ定義したルール(ACL)と照合して、通過を許可するか遮断するかを判断します。 処理が高速ですが、アプリケーション層の攻撃(XSSなど)は検知できません。
DMZ(非武装地帯)
DMZ(Demilitarized Zone)とは、インターネット(外部)と内部ネットワーク(LAN)の 中間に設けられる緩衝領域です。Webサーバ・メールサーバ・DNSサーバなど、 外部からのアクセスが必要なサーバをDMZに配置することで、 万が一これらのサーバが侵害されても内部ネットワークへの直接アクセスを遮断できます。
一般的な構成では、2台のファイアウォールでDMZを挟む「二重ファイアウォール構成」が使われます: インターネット → [外部FW] → DMZ → [内部FW] → 内部LAN
ステートフルインスペクション・次世代FW
- ステートフルインスペクション:パケット単体ではなく「セッション(通信の状態)」を追跡して判断する方式。正規の通信の応答パケットは自動的に許可できる
- 次世代ファイアウォール(NGFW):ディープパケットインスペクション(DPI)・アプリケーション識別・ユーザー識別・SSL復号などを統合したファイアウォール
2. Webセキュリティ機器(WAF・IDS/IPS・SIEM)
WAF(Web Application Firewall)
WAFは、HTTPリクエスト・レスポンスを解析してWebアプリケーションへの攻撃を検知・遮断する機器です。 通常のファイアウォールではフィルタリングできないアプリケーション層の攻撃 (SQLインジェクション・XSS・CSRF・ディレクトリトラバーサルなど)に対応します。 WebサーバとインターネットDMZ間に設置されることが多いです。
IDS・IPSの違い
| 項目 | IDS(侵入検知システム) | IPS(侵入防止システム) |
|---|---|---|
| 正式名称 | Intrusion Detection System | Intrusion Prevention System |
| 主な機能 | 不正アクセス・攻撃の検知と管理者への通知 | 不正アクセス・攻撃の検知と自動遮断 |
| 配置場所 | ネットワーク上でトラフィックをモニタリング(インライン外) | 通信経路上(インライン)に配置 |
| 誤検知時の影響 | 通知のみなので通信は止まらない | 正常通信を誤って遮断する可能性がある |
| 対応 | 人が通知を見て判断・対応 | 自動的にブロック(リアルタイム対応) |
SIEM(セキュリティ情報・イベント管理)
SIEM(Security Information and Event Management)は、 ネットワーク機器・サーバ・アプリケーション・セキュリティ機器などから ログを一元収集し、相関分析によって脅威を早期検知するシステムです。 単一機器では検知できない複雑な攻撃パターン(APT等)の発見や、 法規制対応のための証跡管理にも活用されます。SOCでの中核システムとして使われます。
3. エンドポイントセキュリティ
従来型AV(ウイルス対策ソフト)とEDRの比較
| 項目 | 従来型アンチウイルス(AV) | EDR(Endpoint Detection and Response) |
|---|---|---|
| 検知方式 | シグネチャ(定義ファイル)との照合 | プロセスの挙動・振る舞いを継続監視 |
| 強み | 既知マルウェアの確実な検知 | 未知マルウェア・ゼロデイ攻撃にも対応 |
| 弱み | 未知マルウェア・変種への対応が困難 | 誤検知リスク・専門的な分析が必要 |
| 対応 | 検知・削除(防御中心) | 検知・調査・封じ込め・復旧(対応中心) |
その他のエンドポイント対策
- 振る舞い検知(ビヘイビア検知):プログラムの動作パターンを監視して、不審な挙動を検知する技術
- アプリケーションホワイトリスト:許可されたアプリケーションのみ実行を許可する仕組み。未知のマルウェア実行を防止
- セキュリティパッチ管理:OSやソフトウェアの脆弱性を修正するパッチを迅速に適用することで攻撃対象となる脆弱性を排除
4. 無線LANセキュリティ
無線LANの暗号化規格は世代とともに進化してきました。試験では各規格の特徴と脆弱性が問われます。
| 規格 | 暗号化方式 | 特徴・問題点 |
|---|---|---|
| WEP | RC4(40/104bit) | 初期の標準規格。深刻な脆弱性があり数分で解読可能。現在は使用禁止レベル |
| WPA | TKIP(RC4ベース) | WEPの脆弱性を緊急対処した規格。TKIPにも脆弱性があり推奨されない |
| WPA2 | AES-CCMP(128bit) | 現在も広く普及。KRACK攻撃(鍵再インストール攻撃)の脆弱性が発見されている |
| WPA3 | AES-GCMP(192/256bit) | 最新規格。SAE(Simultaneous Authentication of Equals)で辞書攻撃に強い認証を実現 |
WPA3の主な特徴
- SAE(Simultaneous Authentication of Equals)認証:パスワード推測攻撃(辞書攻撃・ブルートフォース)に強い認証方式。WPA2のPSK(事前共有鍵)に替わる方式
- 前方秘匿性(Forward Secrecy):過去の通信が将来的に解読されることを防ぐ性質。セッション鍵を通信ごとに生成して使い捨てにする
- OWE(Opportunistic Wireless Encryption):パスワードなしの公衆Wi-Fiでも通信を暗号化できる機能
5. ゼロトラストと境界防御の違い
従来の境界型防御の限界
従来のセキュリティモデルは、「内部ネットワーク(イントラネット)は信頼できる」という前提で ファイアウォールで内外を分離する「境界型防御(ペリメータセキュリティ)」でした。 しかし以下の理由でこのモデルは限界を迎えています:
- クラウドサービス・SaaSの普及により「内部・外部」の境界が曖昧になった
- テレワーク・モバイル端末の普及により、社外から社内リソースにアクセスする機会が増加
- 内部不正・内部からの感染拡大(ラテラルムーブメント)に無防備
- 高度な標的型攻撃(APT)は境界を突破した後に長期潜伏する
ゼロトラストの3原則
- 常時検証(Never trust, always verify):内部・外部を問わず、すべてのアクセスを毎回認証・認可する。一度認証されても継続的に検証を行う
- 最小権限の原則(Least Privilege Access):ユーザー・デバイス・アプリケーションに必要最小限のアクセス権限のみを付与する
- マイクロセグメンテーション:ネットワークを細かく分割し、横断的な侵害(ラテラルムーブメント)を防ぐ。侵害範囲の最小化が目的
6. その他の重要技術
DNSSEC(DNS Security Extensions)
DNSキャッシュポイズニング攻撃(偽の名前解決情報の注入)を防ぐための拡張規格です。 DNSレスポンスにデジタル署名を付与することで、応答の正当性を検証できます。
プロキシサーバとコンテンツフィルタリング
プロキシサーバは、クライアントに代わってWebサーバへアクセスする中継サーバです。 セキュリティ用途では以下の役割を担います:
- 内部ユーザーのIPアドレスを隠蔽して匿名性を高める
- アクセスログの記録による責任追跡
- マルウェア配布サイト・不適切サイトへのアクセスをブロックするコンテンツフィルタリング
- URLカテゴリやキーワードによる通信制御
ペネトレーションテスト(侵入テスト)
ペネトレーションテスト(Pentest)とは、実際の攻撃者の視点でシステムに対して 擬似的な攻撃を実施し、脆弱性や侵入経路を事前に発見するテスト手法です。 脆弱性スキャン(自動的に脆弱性をリストアップするだけ)と異なり、 実際に脆弱性を悪用して侵入できるかを検証します。 結果は報告書にまとめて対策の優先順位づけに使用します。
HttpOnly・Secure Cookie属性
| 属性 | 効果 | 対策する脅威 |
|---|---|---|
| HttpOnly | JavaScriptからCookieにアクセスできなくなる | XSS攻撃によるCookie盗取 |
| Secure | HTTPS接続のみでCookieが送信される | 平文HTTP通信でのCookie盗取(中間者攻撃) |
| SameSite | クロスサイトリクエストでのCookie送信を制限 | CSRF攻撃 |
7. 例題で確認
よくある質問(FAQ)
Q. ファイアウォール・WAF・IDSの配置場所の違いは?
A. 一般的な配置は「インターネット→[ファイアウォール]→DMZ(WebサーバにWAF)→[内部FW]→内部LAN」です。IDSはトラフィックのコピーを受け取る形で配置されることが多く(インラインではない)、IPSはインライン(通信経路上)に配置されます。SIEMはこれらのログを一元収集する位置づけです。
Q. EDRと従来のウイルス対策ソフトは何が違いますか?
A. 従来のAVはシグネチャ(定義ファイル)と照合するため既知のマルウェアは得意ですが、未知のマルウェアには対応できません。EDRはエンドポイントの挙動を継続監視して、マルウェアの定義ファイルになくても不審な動作を検知できます。また感染後の調査・封じ込め・復旧支援機能も持ちます。EDRは従来AVを置き換えるのではなく、補完する形で併用されることが多いです。
Q. ゼロトラストを導入すると何が変わりますか?
A. 従来は「社内ネットワークに接続していれば安全」という考えでしたが、ゼロトラストでは社内であっても毎回認証・認可が必要になります。具体的にはID管理の厳格化・多要素認証の必須化・デバイスのセキュリティ状態の継続確認・マイクロセグメンテーションによる通信制限などが実装されます。テレワークやクラウド利用が当たり前になった現代のセキュリティ基盤として重要です。