追加のセキュリティレイヤーとしてのVLAN

2019年9月4日

どの企業にも、外部から届く大量のメールを取り扱う社員がいます。ざっと例を挙げると、人事部、広報部、営業部に所属する人たちです。届くのは通常のメールだけではなく、スパムメールやフィッシングメール、それから悪質な添付ファイルも大量に届きます。こうした人たちは業務上、添付ファイルを開いたり見覚えのないメールに書かれたリンクをクリックしたりしなければなりません。一般的には、このような部署は企業ネットワーク内の非常に重要なノードと切り離されているものですが、専任の情報セキュリティ人材がいない場合は、こうした部署の人々が全社に危険をもたらしてしまうことがあります。

LANの分割

重要情報を扱う部署を感染の危険から守るのに効果的な方法の1つに、企業ネットワークをいくつかの自律的サブネットに分割する方法があります。

理想形は、危険をはらむ部署をすべて物理的に切り離すことです。そのためには複数のルーターを導入し、これを元に企業ネットワークを別々のサブネットに分割する必要があります。しかし、この方法には大きな欠点がいくつかあります。まず、追加の機器が必要だということは追加のコストがかかるということです。次に、既存のネットワークインフラを変更することは、システム管理者にとって大きな負担です。

もっとシンプルな代替策は、仮想LAN(VLAN)を使用して、ハードウェアを置き換えることなく1つの物理ネットワークに複数の論理ネットワークをセットアップすることです。設定はプログラム的に行うので、ケーブルを触る必要もありません。

VLAN

最も一般的なVLANテクノロジーの活用方法は、異なる物理ルーターに接続するコンピューター(たとえば、異なるオフィスにあるコンピューターなど)を1つのサブネットにまとめることです。あるサブセットから別のサブセット内にあるデバイスに対する不正アクセスを防ぐことができるだけでなく、セキュリティポリシーをサブセット全体に1度に適用できるためセキュリティポリシーを管理しやすいなど、セキュリティ上のメリットもあります。

VLANを最大限に活用するには、プロフェッショナル級のネットワーク機器が必要です。とはいえ、Keeneticなど一部のホームルーターはVLANのテクノロジーに対応しています。

ただし万能ではない

VLANは特効薬ではありません。重要ノードへの感染拡大の可能性を抑制することはできますが、「リスクゾーン」内の部署を特別に保護するためのものではありません。したがって、安全のためには以下の対応をお勧めします。

  • 情報セキュリティの適切なスキルを従業員に教育し、疑わしいメールに関する注意喚起を繰り返し行う。
  • 既知の脆弱性を通じてサイバー犯罪者が自社インフラに侵入することがないように、ワークステーション、ネットワーク、その他デバイスのソフトウェアを定期的にアップデートする。
  • 悪意あるプログラムやWebサイトを検知して無害化できるような、ワークステーションおよびサーバー向けの信頼できるセキュリティ製品を導入する。