ネットワークセキュリティとは？基本的な仕組みや構築方法、対策を解説

2024/09/17

インターネットの普及により、オフィスのネットワーク環境は飛躍的に向上しました。一方で、外部からのサイバー攻撃の脅威にさらされるリスクも高まっています。

会社の機密情報や顧客データを守るためには、ネットワークセキュリティ対策を徹底する必要があります。

本記事では、ネットワークの基本的な仕組みや構築の事例、有効な対策方法について解説します。

1. ネットワークセキュリティとは？
- 1.1. 外部ネットワークと社内ネットワークの違い
2. 社内ネットワークの基本的な仕組み
- 2.1. フロアやビル内を接続するLAN
- 2.2. 本社と支社を接続するWAN
3. 社内ネットワークの構築例
- 3.1. 1フロア・一拠点の場合
- 3.2. 一拠点・複数フロアの場合
- 3.3. 複数拠点・複数フロアの場合
4. ネットワークセキュリティにおける脅威
- 4.1. フィッシング詐欺
- 4.2. ランサムウェア
- 4.3. スパイウェア
- 4.4. DDoS攻撃
5. ネットワークセキュリティに有効な対策・ポイント
6. ICによるネットワークセキュリティプロジェクト事例
- 6.1. 無線LAN環境構築プロジェクト
- 6.2. FWポリシー関連設定の一元化プロジェクト
7. ネットワークセキュリティ対策ならICにお任せください
8. まとめ

ネットワークセキュリティとは？

ネットワークセキュリティとは、企業や組織のネットワーク上に存在する顧客情報や機密情報などの重要なデジタル資産を、サイバー攻撃から保護するための対策のことです。

近年、サイバー攻撃は複雑化・巧妙化しており、特に企業や組織を狙った攻撃が増加傾向にあります。

攻撃者は単なる情報の窃取や破壊だけでなく、ランサムウェアを用いてデータを強制的に暗号化し、解除と引き換えに多額の金銭を要求するなど、手口も悪質になっています。

こうした脅威から企業や組織の信頼を守るためには、万全なネットワークセキュリティを構築し、セキュアな環境を整えることが大切です。

外部ネットワークと社内ネットワークの違い

外部ネットワークと社内ネットワークの違いは、下記の通りです。

項目

外部ネットワーク

社内ネットワーク

定義

インターネットを通じて

組織外のユーザーもアクセス可能なネットワーク

限定されたユーザーやデバイスのみが

アクセスを許可された、組織内の

ネットワーク

活用状況

近年では多くの企業が業務に活用

クラウドサービスなど

機密データや社内ポリシーなど、

自社内でのみ共有したい情報のやり取りや保存場所として活用

外部ネットワークは利便性が高い反面、セキュリティリスクが高くなります。

一方、社内ネットワークは、セキュリティ面で外部ネットワークよりも優れていますが、利便性は劣ります。

そのため、企業は用途に応じて社内ネットワークと外部ネットワークを使い分け、適切なセキュリティ対策を講じることが重要です。

社内ネットワークの基本的な仕組み

AdobeStock_119923627

ここでは、社内ネットワークの基本的な2つの仕組みについて解説します。

フロアやビル内を接続するLAN
本社と支社を接続するWAN

フロアやビル内を接続するLAN

LANはLocal Area Networkの略称で、一つのビル内や限定された敷地内などに回線を引き、特定の範囲でのみ利用できるネットワークのことです。

ビル内や一つのフロア内でOA機器を接続する場合には、有線LANか無線LANを使用します。

有線LANと無線LANの違いは、下記の通りです。

項目	有線LAN	無線LAN
接続方法	ケーブルをモデムやルーターに差し込む	端末でWi-Fiの使用を許可し、親機の情報を入力
通信の安定性	障害物や電波干渉の影響を受けにくい	障害物や電波干渉の影響を受ける
機器の設置場所	ケーブルの長さに制限される	制限がなく、レイアウト変更に柔軟に対応できる
セキュリティリスク	比較的低い	パスワードを設定しないと情報漏洩や無断利用の被害にあう可能性がある

社内ネットワークを構築する際は、用途や環境に応じて有線LANと無線LANを使い分け、適切なセキュリティ対策を講じましょう。

本社と支社を接続するWAN

WANは「Wide Area Network」の略称で、距離が離れた本社と拠点（支社）とのネットワークをつなげる仕組みのことです。

LANが一つのビル内や限定された敷地内でのみ利用できるネットワークであるのに対し、WANはLANよりも広い場所をカバーできます。

例えば、東京本社と地方支社のパソコン同士をつなげたい場合などにWANが利用され、社内メールのやり取りやデータベースの共有などが可能になります。

社内ネットワークの構築例

AdobeStock_567758174

社内ネットワークの構築は、フロア数や会社の拠点数によって変わります。
ここでは、代表的な社内ネットワークの構築例を3つ解説します。

1フロア・一拠点の場合
一拠点・複数フロアの場合
複数拠点・複数フロアの場合

1フロア・一拠点の場合

1フロア・一拠点の場合の社内ネットワーク構築例は、下記のようになります。

ルーターを設置し、インターネット回線と接続
ルーターからLANケーブルを引き、社内の各デバイス（パソコン、プリンターなど）に接続
デバイスの台数が多い場合は、ルーターとデバイスの間にスイッチやハブを設置し、デバイスに接続

この構成により、フロア内のすべてのデバイスがネットワークに接続され、データ共有や情報共有がスムーズに行えます。

一拠点・複数フロアの場合

一拠点・複数フロアの場合の社内ネットワーク構築例は、下記のようになります。

インターネットの出口となるルーターを一つ設置し、インターネット回線と接続
各フロアにスイッチを設置し、ルーターとスイッチをLANケーブルで接続
フロアごとに、スイッチからハブを設置し、LANケーブルで接続
ハブから、各デバイス（パソコン、プリンターなど）にLANケーブルを引き、接続
デバイスの台数が多い場合は、ハブを追加して接続

ルーターを中心に、スイッチとハブを階層的に配置することで、管理がしやすくなります。ただし、機器の設置や設定には専門的な知識が必要なため、社内ネットワークの構築や運用に不安がある場合は、専門家に相談しましょう。

複数拠点・複数フロアの場合

複数拠点・複数フロアの場合の社内ネットワーク構築例は、下記のようになります。

各拠点にルーターを設置し、インターネット回線と接続
拠点間を専用線（電話回線や光回線など）で接続
各拠点内では、フロアごとにスイッチを設置し、ルーターとスイッチをLANケーブルで接続
フロアごとに、スイッチからハブを設置し、LANケーブルで接続
ハブから、各デバイス（パソコン、プリンターなど）にLANケーブルを引き、接続

拠点が多い場合、電話回線や光回線などの専用線を利用します。これにより、離れた拠点間でもスムーズなデータのやり取りが可能になります。

ネットワークセキュリティにおける脅威

社内ネットワークが脆弱な場合に想定される脅威には、下記のようなものが挙げられます。

フィッシング詐欺
ランサムウェア
スパイウェア
DoS攻撃

サイバー攻撃の種類や対策については、下記の記事で詳しく解説しています。

フィッシング詐欺

フィッシング詐欺とは、大手企業や公的機関、知人等になりすまし、メールやSNSを通じて偽のWebサイトに誘導し、クレジットカード情報やパスワードなどの機密情報を不正に取得することです。

フィッシング詐欺の手口は年々巧妙化しており、メールの文面や偽サイトのクオリティも高くなっているため、見破ることが難しくなっています。

特に最近では、実在する企業や組織の正規ドメインに酷似したドメインを使っているケースもあり、細心の注意が必要です。

ランサムウェア

ランサムウェアとは、身代金を意味する「Ransom（ランサム）」と「Software（ソフトウェア）」を組み合わせた造語で、不正プログラムの一種です。

ランサムウェアに感染すると、業務に必要なファイルやデータにアクセスできなくなるため、企業活動に大きな支障をきたす可能性があります。

実際に、2020年6月には本田技研工業がランサムウェアに感染し、海外の9工場で生産が一時停止、国内の3工場でも出荷を一時停止する事態となりました。

スパイウェア

スパイウェアは、パソコンに潜入し、ユーザーの個人情報や行動履歴を外部に送信する不正プログラムの一種です。

ユーザーの知らないうちに、パソコンの構成情報やアクセスしたWebサイトの種類、ログイン情報、クレジットカード情報などの機密データを収集し、攻撃者に送信します。

スパイウェアの感染経路には、下記のようなものが挙げられます。

感染経路	説明
メールの添付ファイル	企業や組織を装ったメールに不正なプログラムを添付し、ユーザーをだまして開かせる
閲覧したWebサイト	改ざんされたWebサイトにアクセスしたり、不正な広告をクリックしたりすることでスパイウェアがダウンロードされてしまう
意図的なインストール	フリーソフトやアプリに紛れ込ませたスパイウェアを、インストールしてしまう

スパイウェアによって情報が漏洩すると、企業の信用失墜や多額の損害賠償に発展するリスクがあります。

DDoS攻撃

DDoS攻撃（Distributed Denial of Service attack）Service attack）とは、短時間の間に大量のデータを送信し、攻撃対象のサーバーやネットワーク機器に過大な負荷をかけ、動作遅延や停止に追い込むことです。

DDoS攻撃を受けると、サーバーやネットワーク機器などに対して大きな負荷がかかるため、ウェブサイトへのアクセスができなくなったり、ネットワークの遅延が起こったりします。

その結果、オンラインショッピングやオンラインバンキングなどのサービスが利用できなくなり、顧客の利便性が損なわれるだけでなく、企業の信頼性にも大きな影響を与えてしまいます。

実際、2015年に2020年東京五輪・パラリンピック大会組織委員会のホームページがDDoS攻撃の被害にあい、12時間もの間サイトが閲覧できなくなりました。

ネットワークセキュリティに有効な対策・ポイント

ネットワークセキュリティに有効な対策・ポイントは、下記の通りです。

ファイアウォール・IDS/IPSを導入
プライベート端末の接続を禁止
定期的な脆弱性診断
システム開発会社に委託する

ファイアウォール・IDS/IPSを導入

ファイアウォールや侵入検知システム（IDS）/侵入防御システム（IPS）を導入することで、ネットワークへの不正アクセスを防止し、セキュリティインシデントの発生を未然に防げるでしょう。

ファイアウォールは、ネットワークの入口で不正なアクセスをブロックする基本的な防御策として機能します。

一方、IDS/IPSは、ファイアウォールを突破した攻撃や不審なトラフィックパターンを検出し、リアルタイムで対応します。

このように、ファイアウォールとIDS/IPSを組み合わせることで、攻撃者にとって突破が難しいセキュアな環境を構築できます。

プライベート端末の接続を禁止

内部システムのセキュリティ強化に加えて、プライベート端末の接続を禁止することも、効果的なセキュリティ対策の一つです。

社員が私物のスマートフォンやノートPCを無断で社内ネットワークに接続すると、外部からのサイバー攻撃の侵入口となる危険性があります。

プライベート端末は、セキュリティ管理が不十分な場合が多く、マルウェアに感染しているかもしれません。

感染したプライベート端末が社内ネットワークに接続されると、マルウェアが社内システムに侵入し、機密情報の漏洩や業務システムの停止など、深刻な被害を招くリスクがあります。

そのため、プライベート端末の無断接続を禁止し、全社員に周知徹底しましょう。

定期的な脆弱性診断

定期的な脆弱性診断は、ネットワークセキュリティのリスク低減に有効な手段です。

脆弱性診断では、システムやネットワークに潜む脆弱性を網羅的に洗い出し、その深刻度を評価します。これにより、潜在的なセキュリティリスクを可視化し、適切な対策を講じられます。

診断の結果、脆弱性や設定ミスなどが発見された場合は、迅速に対処しましょう。また、診断結果をもとに、セキュリティポリシーや運用手順の見直しを行い、継続的にセキュリティ対策を改善していくことも大切です。

システム開発会社に委託する

システム開発会社には、ネットワーク構築に関する高度な専門知識と豊富な経験をもつネットワークエンジニアが多数在籍しています。

ネットワークエンジニアは、最新の技術動向やベストプラクティスに基づいて設計・構築できるため、信頼性の高いネットワークを構築可能です。

また、システム開発会社に委託することで、構築後の定期的な脆弱性診断も任せられます。専門家による定期的な診断により、継続的にネットワークセキュリティを高められるでしょう。

ICによるネットワークセキュリティプロジェクト事例

ここでは、ICによるネットワーク関連のプロジェクト事例を紹介します。
今回紹介する事例は、下記の通りです。

無線LAN環境構築プロジェクト
FWポリシー関連設定の一元化プロジェクト

無線LAN環境構築プロジェクト

株式会社ICでは、地方公共団体における無線LAN環境構築プロジェクトを担当しました。

このプロジェクトの目的は、無線環境が全くない拠点に対し、無線LAN機器を設置することでした。

ご依頼頂いた地方公共団体では、LANケーブルが配線されている場所でしかPCでの業務を行えず、業務効率が悪い状況が続いていました。

弊社では、本プロジェクトで使用するシスコシステムズの無線LAN関連製品の導入実績が非常に高かったことから、ネットワーク設計の打ち合わせ段階から参画し、ネットワーク機器の検証・実装をメインに担当しました。

構築時、アクセスポイントを一元管理しているコントローラー型の無線LANのファームウェアのエラーが多く、設計通りにいかないことが多発しました。

ICのエンジニアは、ひとつひとつバージョンを試し、エラーが出ないかを確認したり、ベンダーと調整を行ったりなど、問題解決に尽力しました。

その結果、無線でどのフロアのどの場所からつないでも、ユーザー単位でIPアドレスを固定できるようになりました。

本事例の詳細は、下記からご覧いただけます。

FWポリシー関連設定の一元化プロジェクト

株式会社ICでは、大手金融系企業におけるFW（ファイアウォール）ポリシー関連設定の一元化プロジェクトを担当しました。

このプロジェクトの目的は、FWのポリシー制御によるネットワーク環境の分離（金融業務とOA業務環境の分離）と、製品のファームウェアバージョンアップを含めた一元管理対応でした。

お客様は全国に8〜9箇所の拠点があり、なかにはFW機器が未導入の拠点もありました。

そこで弊社は、本プロジェクトで取り扱うPaloalto社製FWの豊富な対応実績とナレッジを活かし、下記の作業を担当しました。

既存および新規FWのパラメータシート作成・修正
新規導入FWの設定
検証用機器を使用した動作検証
現地での導入作業

通信要件を入念に精査し、その実装と検証を丁寧に行うことで、FWのポリシー制御を確実なものとし、お客様のネットワークセキュリティを飛躍的に高めることに成功しました。

本事例の詳細は、下記からご覧いただけます。

ネットワークセキュリティ対策ならICにお任せください

スクリーンショット 2024-05-09 105324-1

引用元：システム開発のIC

株式会社ICでは、サーバーやネットワークを主としたインフラ基盤の構築、システム保守を行っており、要件定義から設計、構築、テスト、導入までワンストップでサポートします。

特定の親会社やグループをもたない経営スタイルであるため、メーカーの制限を受けずに、お客様に最適なネットワーク機器を提案可能です。

ネットワークセキュリティ対策については、せひシステム開発のICをご検討ください。

まとめ

本記事では、ネットワークの基本的な仕組みや構築の事例、有効な対策方法について解説しました。

ネットワークセキュリティとは、企業や組織の重要なデジタル資産をサイバー攻撃から保護する対策です。

ネットワークセキュリティを脅かす要因としては、フィッシング詐欺、ランサムウェア、スパイウェア、DDoS攻撃などが挙げられます。対策としては、ファイアウォールやIDS/IPSの導入、プライベート端末の接続禁止、定期的な脆弱性診断などが有効です。

また、高度な専門知識をもつシステム開発会社に委託することで、信頼性の高いネットワークを構築できます。

ネットワークセキュリティ対策については、ぜひシステム開発のICをご検討ください。