好きな所から読む
NATとは一体何か
NAT(Network Address Translation)は、ネットワーク上におけるIPアドレスを変換する技術です。企業内で利用されるプライベートIPアドレスは社員にしかわからない仲間内のアドレスであるため、インターネットを閲覧する際にはグローバルIPアドレスに変換する必要があります。
元々NATはグローバルIPアドレスが枯渇するのを防ぐための解決策として、利用されていました。グローバルIPアドレスが少なくなってきた理由は、全世界でインターネットが普及したためです。NATはインターネット接続のときだけグローバルIPアドレスを使うため、企業の利用するグローバルIPアドレスを削減できるからです。
ネットワークをつなげるブロードバンドルーターやWANルーターが、グローバルIPアドレスの技術を隠す機能を持っているため、セキュリティ面でも外部アクセスを減らすメリットがあります。
⇒セキュリティと生産性を両立する!ゼロトラストの原理・原則や実現方法に関するホワイトペーパーを無料でプレゼント中!
NATの仕組みについて
企業内で利用されるプライベートIPアドレスは、このままではインターネット上で利用できません。特敵の組織内でしかわからないプライベートIPアドレスでは、リアクションをどこに返すべきかわからないからです。
NATでグローバルIPアドレスに変換して、宛先を明確にする必要があります。また、送信元からのリアクションの宛先はグローバルIPアドレスの状態で返ってくるため、NATがプライベートIPアドレスに変換します。
つまり、NATは1台のPCがインターネット接続の際にIPアドレスを使い分けるための技術です。1つのグローバルIPアドレスを使ってインターネットが利用できるのは、1台のPCだけです。
NATの発展バージョンとして開発されたのは、NAPT(Network Address Port Translation)になります。NAPTでは、複数のPCで一つのグローバルIPアドレスを利用する技術です。
NAPTは必要なポート番号を変換することで通信の宛先を確定し、1つのグローバルIPアドレスで複数のPCでのインターネット接続を実現しています。
NATの種類
使用するIPアドレスを1:1で固定する静的NATと使用するたびにIPアドレスが変わる動的NATの特徴をまとめました。
静的NAT
プライベートIPとグローバルIPアドレスを1:1で紐付けするNATです。特定のIPを決めるため、外部から内部ネットワークに接続するときも常に同じIPアドレスを指定できます。
管理者が変更しない限りIPアドレスは固定されるため、不特定多数のPCからのアクセス制限や外出先でもアクセスできるといったメリットにつながります。
動的NAT
動的NATは1つのプライベートIPが、複数のグローバルIPを利用する際のNATです。プライベートIPとグローバルIPアドレスの組み合わせが、その都度変わるのが大きな特徴です。あらかじめ複数のグローバルIPアドレスを登録しておき、PCがインターネット接続をしたときに自動で登録したアドレスのうち1つが割り当てられます。
登録したアドレスを使い切った場合、インターネット接続はできません。インターネットに接続している時間しか特定のグローバルIPアドレスを使用しないため、外部からの不正アクセスを軽減できます。
静的NAPT
特定のポート番号を決めることで、データ通信(パケット)を指定したPCに送ることが可能です。インターネット接続の際に利用する際のポート番号の変換を防ぎます。ポート番号が変更されると、オンラインゲームの接続や動画や音楽のダウンロードが中断されてしまいます。
静的NAPTを使用することでボード番号の変換を防ぎ、特定のネットワーク対応が求められるサイトやアプリケーションの利用が可能です。
動的NAPT
動的NATと同様に、1つのグローバルIPアドレスを複数のユーザーで利用する方法です。複数のプライベートIPアドレス+ポート番号をインターネット接続の際は、1つのグローバルIPアドレス+複数のポート番号に変換してデータ通信を行います。
現在、企業や家庭で幅広く利用されている一般的なネットワーク接続の方式です。
NATを勉強する上で知っておきたいIPマスカレードについて
IPマスカレードは、OSを提供するLinux社のソフトウェアを実装した動的NAPTを指す表現方法です。静的NAPTの場合は、静的IPマスカレードと表現します。
IPマスカレードは、複数のプライベートIPアドレスとポート番号を1つのグローバルIPアドレスに紐づけて、インターネットのデータ通信を可能にしています。内部からインターネットに接続する際には問題ありませんが、外部から社内ネットワークにアクセスする際に課題があります。
IPマスカレードは、複数のプライベートIPアドレスを利用しているため、Webサイトやサーバー側がアクションを返すときにどの宛先に返していいかわかりません。そのため、IPマスカレード単体では外部からのアクションを受けられないので、NATと併用する形になります。
NATを利用する際の注意点
NATを利用する環境や使用する機能によっては、通信ができず不便になる可能性があります。
外部アクセスが必要なアプリが使いにくくなる
ルーターが無い場合はIPアドレスの変換ができないので、インターネットとの接続ができません。また、ルーターがある場合でもネットワークの方式によっては、一部のアプリケーションが使用できない場合があります。
NATはプライベートIPアドレスとグローバルIPアドレスを、1対1で変換するための技術です。内部からインターネットの接続の際にはグローバルIPアドレスに変換し、外部から内部の接続時にはプライベートIPアドレスを利用します。ただし、インターネット上にはルートがありません。
Webサイトやサーバー、アプリからのアクションは、LANとインターネットを繋ぐ役割をしてくれるルーターがプライベートIPアドレスに変換して、企業や家庭にパケットを届けてくれます。
ですが、プライベートIPアドレスしか利用できないLAN方式が設定されているマンションの場合、オンラインゲームができません。接続先からのアクションを受けられないからです。
場所によってはオンラインゲームやアプリが使えないといった事態が起きるため、ユーザーにとってはやや利便性に不満が残ります。
NATを通過できないActiveDirectoryのプロトコル
ActiveDirectoryの利用ができません。ActiveDirectoryは社員のユーザーIDやコンピューターリソースの一元管理や認証機能を持つシステムです。企業における人事システムの効率的な管理を実現します。
ですが、ActiveDirectoryを構成するKerberosやMS-RPCなどのプロトコルに、NATは対応していません。ActiveDirectoryのネットワーク内にNATがあった場合、通信の失敗や動作不良が起きます。サーバー内にNATがあった場合でも通信障害が起きるため、NATなしで通信ができるネットワークを構成する必要があります。
セキュリティ強化を行う上でゼロトラストネットワークを知るのが重要
ゼロトラストネットワークは、「全てのアクセスを信頼しない」というゼロトラストモデルを取り入れたネットワークです。ゼロトラストは、Forrester Research社が2010年に提唱したセキュリティソリューションで、場所やユーザー、デバイス機器を問わず全てのアクセスに対して認証を求めます。本人確認と安全性が確認できたアクセスしか、社内システムやアプリにログインできないため、不正アクセスのリスクを大幅に軽減します。
⇒セキュリティと生産性を両立する!ゼロトラストの原理・原則や実現方法に関するホワイトペーパーを無料でプレゼント中!
ゼロトラストネットワークとは何か
「全てのアクセスにリスクが潜んでいる」との考えで、全てのアクセスを可視化・検証します。たとえ1分前のログインでも信頼しないため、1分後に閲覧していたファイルに再びログインする場合も認証を求められます。
従来の「社内ネットワーク=安全」、「社外アクセス=危険」といった境界線を定めて機密情報を守っていくセキュリティ対策では、情報資産を守るのが困難な状況です。
攻撃者によるサイバー攻撃の多様化やデバイス機器の増加によって、不正アクセスやマルウェアの侵入を完全に防ぐことが難しくなりました。
そのため、現在のセキュリティ対策では「マルウェアや不正アクセスに侵入された後、いかに被害を最小限に抑えるか」といった点を重視したセキュリティ対策が求められています。
ゼロトラストネットワークは、複数の製品を組み合わせてセキュリティレベルを上げていくソリューションです。
上手く組み合わせることで、サイバー攻撃やマルウェアの侵入予防と侵入後の対応を同時に実現します。
例えば、多要素認証でアプリケーションログイン時での認証精度を高め、EDR(Endpoint Detection and Response)の導入で端末内のセキュリティ監視を行うと、マルウェア感染迅速に対応をします。
ゼロトラストネットワークの長所
サイバー攻撃や脆弱性の発見などを指すセキュリティインシデントの予防・検知、場所を問わないアクセスが可能といったメリットがあります。ゼロトラストネットワークは概念であり、セキュリティレベルを上げる方法は一つではありません。導入したツールの効果とメリットを下記にまとめました。
| 種類 | 目的 | 機能例 | 導入効果 |
| 多要素認証 |
|
|
|
| EDR |
|
|
|
| CASB |
|
|
|
| SOAR(Security Orchestration, Automation and Response) |
|
|
|
ゼロトラストネットワークの短所
自社に合ったセキュリティツールを見極める人材の確保やアクセス制限の見極めが必要です。ゼロトラストネットワークは、単一の製品を導入する訳ではありません。
自社のセキュリティ環境を把握して、脆弱性や改善点を無くすためにセキュリティツールを導入する必要があります。セキュリティ分野の豊富な知識や経験がある社員でないと正確な判断ができません。
また、アクセス制限に関しては、業務の利便性を失わないバランス感覚が求められます。制限が強すぎると業務の効率性が落ちるからです。
業務に必要なデータファイルやWebサイトの閲覧も制限されると、調査したい内容の情報が集められません。社員に負担がかかるだけでなく、取引先に影響を及ぼす可能性もあるので、慎重な判断が必要です。
NATやゼロトラストネットワークを利用する上で意識したいこと
初期費用やランニングコストの確保、自社のIT環境の改善点の把握、業務負担の軽減など様々な点に目を配る必要があります。5点のポイントを挙げました。
セキュリティにかかる費用をどのくらい用意できるか
セキュリティレベルをどの程度まで強化するにもよりますが、数百万円コストが必要だと思ってください。ゼロトラストネットワークは特定のセキュリティツールの導入をしなければ、一定以上のセキュリティレベルを確保できません。
業績の良い時期が続いているときに、セキュリティツールを導入するべきです。セキュリティ分野は直接企業に売上をもたさないため、業績が厳しくなるとセキュリティ分野への投資の優先順位はさらに下がります。
ですが、近年は大企業だけでなく、サプライチェーン攻撃に代表されるように中小企業もサイバー攻撃のターゲットになりつつあります。セキュリティ対策への投資を先延ばしできる時間は、さほど残されていません。
業績を見極め段階的にセキュリティ製品を導入しながら、セキュリティ対策を進めていくべきだといえます。
マルウェアなどによって生じた被害はどのくらいか
自社の社内システムや情報資産がマルウェアによって、どの程度被害を受けたかを把握しましょう。システムの脆弱性を突かれて被害が大きい場合はセキュリティ対策を大幅に強化する必要があり、被害を最小限に抑えられている場合は、現状のセキュリティ対策が機能している証拠になります。
被害が小さい場合は、大規模なセキュリティツールの導入は必要ありません。まずはIT環境やセキュリティ対策の現状を把握し、改善点や脆弱性の有無を確認しましょう。
ゼロトラストネットワークを導入して業務がどのくらい改善されるか
管理者の業務負担がどの程度改善されるかも導入の一つのポイントです。経験や知識が不十分な社員が管理者になっている場合は、効率的な運用ができるセキュリティ製品の導入をするべきです。例えば、SOARはインシデントへの優先順位や対処法を示してくれるだけでなく、大半の処理は自動スクリプトで行うため、経験が浅い人材でも業務をこなしながら、知識を増やせます。
セキュリティ対策ツールのサポートが充実しているかどうか
導入するセキュリティツールによってサポート体制も異なりますが、例えば大塚商会でEDRを導入した場合は、以下のサポート体制があります。一部をまとめました。
- マルウェアや脅威の隔離
- 侵入経路の確認・分析
- 社内システム全体の被害状況の確認
- 作業の完了報告
- 情報漏洩の有無調査
社員にセキュリティ対策を行う時間を確保できるか
セキュリティ分野全般に関して、社員に教育する時間を確保してください。セキュリティツールの導入は情報漏洩対策に大きな効果をもたらしますが、結局は社員の意識が変わらないとリスクは一向に減りません。
情報流出した場合の経済的・社会的信用の損失の恐ろしさ、マルウェアやサイバー攻撃の被害などについて、学ぶ必要があります。セキュリティ分野への知識がついれくれば、普段の行動が変わってきます。
まとめ
NATの注意点、ゼロトラストネットワークのメリット・デメリットをまとめました。
| NATの注意点 | ゼロトラストネットワークのメリット | ゼロトラストネットワークのデメリット | |
| 特徴 |
|
|
|
