閉域網(閉域ネットワーク)でのウイルス対策は必要か?セキュリティの重要性を解説

公開日:

更新日:

執筆者:野下 龍(セキュリティ市場調査担当)|

Morphisec」のライターチームの野下です。

2023年現在、企業の活動においてITの活用は当たり前になっています。

情報通信技術を活用するためにはネットワークに接続する必要があり、企業であればランサムウェアなどのマルウェアに感染するリスクは必ずと言っていいほど存在します。

そのような背景から多くの組織は、閉域網(閉域ネットワーク)を採用することで安全に業務遂行できる環境を構築していましたが、これは「閉域網神話」です。

閉域網とはいえ、マルウェアやランサムウェアの感染経路が完全に断たれた訳ではありません。

本記事は、「閉域網にはどのような種類があるのか?」「閉域網でなぜセキュリティ対策が必要なのか?」という疑問を持たれている方に向けて執筆しているため、ぜひ参考にしてみてください。

目次

閉域網(閉域ネットワーク)とは

組織における一般的なネットワーク環境と閉域網(閉域ネットワーク)の違い

閉域網とは、特定の組織内やエリアだけで利用される、インターネットとは切り離された独立したネットワーク環境です。

閉域網は、クローズドネットワーク(クローズド環境)と呼ばれることもあります。

インターネットと切り離すことで、不特定多数のユーザーやサイバー攻撃者からのアクセスを遮断し、企業の機密情報や顧客情報などの情報漏えいを未然に防ぐことを期待して採用されます。

企業では、機密情報を保管するサーバールームで閉域網の環境を採用することが多いです。

同様に、多くの個人情報を扱う病院や重要な知的財産を保有する工場でも、閉域網の環境がしばしば利用されます。

閉域網(閉域ネットワーク)のメリット

閉域網を採用する最大のメリットは、安全性の高いセキュリティ環境です。

インターネットと接続しないため、外部からの不正アクセスやウイルス感染のリスクを大幅に減らすことができます。

閉域網(閉域ネットワーク)のデメリット

ただし、閉域網にもいくつかのデメリットがあります。

1つは、導入と運用コストです。

閉域網の構築には、専用のハードウェアの調達、ネットワークの設計、そしてそれらの運用に関する専門知識と機器の設定が必要となります。

これらの準備と運用には一定のコストがかかります。

2つ目のデメリットは、外部との情報交換が難しくなる点です。

閉域網内でしか利用できないシステムやサービスを導入する場合、それを外部の人々と共有するためには、さらに手間とコストが必要になることがあります。
具体的な例として、閉域網で運用されている工場とその企業の本社間で連絡を取るための「チャットツール」の導入を考えてみます。
このツールがクラウド版であれば、インターネット接続が前提です。しかし、閉域網内ではインターネット接続が難しいため、工場と本社をつなぐためには踏み台となるサーバーが必要となります。
さらに、セキュリティ上の理由で中継サーバーを介したインターネット接続が問題となる場合、クラウド版の利用は難しく、オンプレミス版を利用することになります。
オンプレミス版のチャットツールを導入する際には、専用のサーバーを調達し、本社と工場をつなぐ閉域網の境界に踏み台サーバーを設置するなど、様々な機器の構築と運用が必要になるため、ここでもコストが発生します。

4種類の閉域網(閉域ネットワーク)

ここまで、閉域網のメリットとデメリットをご紹介しました。

閉域網には、さまざまな形式が存在し、それぞれが異なる特性や利点を持っています。

次に、閉域網の4つの主要な形式である「広域イーサネット」「IP-VPN」「エントリーVPN」「インターネットVPN」について詳しく解説していきます。

各閉域網の種類ごとの違いを表にまとめていますので、参照ください。

 

利用回線

安定性

通信帯域

セキュリティ

コスト

保守

利用用途

広域イーサネット

閉域網

安定(高速)

帯域確保

高額

自社か委託ベンダー

機密情報を取り扱う業務

IP-VPN

閉域網

安定(高速)

帯域確保

やや高額

通信事業者

機密情報を取り扱う業務

エントリーVPN

閉域網

不安定

保証なし

中〜高

やや安価

通信事業者

機密情報を取り扱う業務

インターネットVPN

インターネット回線

不安定

保証なし

低い

安価

自社か委託ベンダー

日常業務

広域イーサネット

広域イーサネットは、イーサネット技術を用いて広域(多拠点同士)にわたる企業内ネットワーク閉域網の一つである広域イーサネットは、を1つの拠点にまとめる

広域イーサネットは、イーサネット技術を用いて広域(多拠点同士)にわたる企業内ネットワーク(LANLocal Area Network)を1つの拠点にまとめるように構築する閉域網です。

遠隔地の拠点や場所を接続する際はWANWide Area Network)が用いられますが、広域イーサネットで構築されたネットワークは1つのLANとして利用ができます。

つまり、LAN接続により、不特定多数のユーザーが接続できない閉域網を構築することが可能になります。

広域イーサネットの最大の利点は、セキュリティの強度と高速で安定した通信が可能であることです。

大量のデータをリアルタイムで安全にやり取りする必要がある企業にとって、広域イーサネットは非常に有効な選択肢となります。

ただし、広域イーサネットのデメリットとして、ネットワーク設定が複雑になる点と、ネットワークを構築する初期投資がIP-VANやエントリーVPNに比べて高額になる点もデメリットです。

IP-VPN

IP-VPNは、通信事業者の閉域IP(Internet Protocol)を使用して仮想的な閉域網を構築

IP-VPNは、通信事業者の閉域IPInternet Protocol)を使用して仮想的な閉域網を構築する形式です。

VPN…Virtual Private Network(仮想プライベートネットワーク)の略。暗号化やトンネル化などによって、ネットワーク経由でやり取りする情報を不正に盗み見られないようにするための通信方法*1

IP-VPNを採用する際は、通信事業者が独自に構築した閉域IPを利用します。これには通信事業者との契約が必要になります。

この形式のメリットは、遠隔地の拠点間でも安全に通信が可能なことです。

これは、通信事業者が独自の閉域網を提供し、ユーザー認証や独自プロトコルなどのセキュリティ対策を行っているためです。

さらに、IP-VPNはインターネットと同じIP技術を使用しているため、既存のネットワーク環境をそのまま利用しながら、閉域網を構築することが可能です。

これも大きなメリットの1つと言えます。

エントリーVPN

エントリーVPNは、通信事業者が提供する閉域ネットワーク網を利用

エントリーVPNは、IP-VPNと同様に、通信事業者が提供する閉域ネットワーク網を利用する形式です。

IP-VPNとの大きな違いは比較的安価な光ブロードバンド回線やADSL回線、LTE回線を利用する点です。

そのため、閉域ネットワークの種類でも比較的に安価に利用できる選択肢となります。

セキュリティレベルでは、通信事業者の閉域網を利用するため、IP-VPNと同等の強度と言えるでしょう。

ただし、エントリーVPNのデメリットとしては通信の安定性が挙げられます。通信の遅延が発生しやすく、業務に支障をきたす可能性があります。

インターネットVPN

インターネットVPNは、公開されているインターネット上に仮想的な閉域網を構築

インターネットVPNは、公開されているインターネット上に仮想的な閉域網を構築する形式です。

インターネットVPNの利点は、インターネット環境があればどこからでも接続可能であることと、低コストで閉域網を構築できることでしょう。

しかし、インターネットのトラフィック状況に影響を受ける可能性があり、通信の安定性には注意が必要です。

また、広域イーサネットやIP-VPNと比較すると、誰もが利用できるオープンな回線であるため、不正アクセスなどの攻撃を受けてランサムウェアなどに感染してしまうリスクが高まります。

閉域網(閉域ネットワーク)でもウイルス対策が必要?

インターネットVPNを除く閉域網はクローズド環境とはいえ、マルウェアの感染経路が完全に遮断されているわけではありません。

業務都合や環境の更新などで外部とのやり取りが必要になる場合、以下のようなケースでマルウェアに感染するリスクがあります。

外部デバイスからの感染

外部とのネットワーク接続が制限されている環境でも、USBメモリなどの外部ストレージなどを通じてウイルスが侵入する可能性があります。

閉域網を使用していても、外部からUSBメモリやCD-ROMなどのデバイスが持ち込まれることは少なくありません。

外部から持ち込まれたUSBメモリにマルウェアが仕込まれていた場合、閉域網内の機器がウイルスに感染し、その結果感染が拡大する可能性があります。

ソフトウェアのアップデート時に感染

閉域網に存在するシステムも、ソフトウェアの更新やパッチの適用が必要となる場合があります。

閉域網内でシステム更新やパッチ適用を行う際には、通常、情報システム担当者がインターネットに接続できるPCで更新パッチをダウンロードし、それを閉域網内の機器に適用します。

しかし、更新パッチのダウンロードと閉域網内のシステムへのパッチ適用のために、一時的に外部ネットワークに接続する必要があります。

この接続時に、接続先のPCがウイルスに感染していたり、提供ベンダがソフトウェアの製造過程でサイバー攻撃を受けたことで更新パッチにマルウェアが仕込まれていたりする場合、脅威に感染するリスクが高まります。

また、閉域網ではインターネット経由の自動更新ができないため、ウイルス対策ソフトの防御性能が低下しやすいことも注意するべき点です。

振る舞い検知やパターンマッチングなどの防御手法を採用しているウイルス対策ソフトの防御性能は、シグネチャ更新や振る舞いを学習したデータを前提としています。

したがって、アップデートが行えない状況では、防御機能の低下が起こり得ます。

閉域網(閉域ネットワーク)でのウイルス対策が難しい理由

閉域網は、インターネットから切り離され特定の組織内だけで利用されるため、セキュリティ面での利点があるとご紹介しました。

しかし、その一方で、閉域網内でのウイルス対策が困難な側面も存在します。

対策が難しい理由1:アップデートでの強化が困難

閉域網は、インターネットと切り離されているため、システムやOSのアップデート、セキュリティソフトの定期的な更新が困難になります。
多くのウイルス対策ソフトは、シグネチャの更新によって防御性能を維持する仕組みとなっています。しかし、外部通信を行わない閉域網の環境では、この防御性能を最大限に発揮することが難しくなります。
最新のシグネチャが適用されていない期間で、マルウェアに感染するリスクが考えられます。
また、閉域ネットワーク内の端末でアップデートを行う際は、検証環境での動作確認や、一時的なネットワーク接続など、追加の作業時間も必要です。

対策が難しい理由2OT機器の存在で利用期間中の強化が困難

閉域網内で稼働しているOT(Operational Technology)機器の存在は、セキュリティ対策を難しくする要素の一つです。

OT機器は、例えば医療機器のCTMRIのように、高額で長期間にわたり使用されることが多いです。

こうした長期にわたり利用されている機器は、開発当初にセキュリティ対策が施されていなかったり、稼働に支障をきたしやすいことからセキュリティの高度化が図りにくいことが特徴です。

また、工場内などでリアルタイムでの稼働が求められるOT機器は、通信の暗号化による遅延が許容できない場合が多く、セキュリティを強化するためのOT機器の好感や閉域網の見直しは、ハードルが非常に高いと考えられます。

このような理由から、閉域ネットワーク領域でのセキュリティ強化は難易度が高いため、ネットワークの状況に依存しないエンドポイント側での対策が必要となるでしょう。

閉域網(閉域ネットワーク)でも有効なMorphisec

ウイルス対策ソフトの中で、アップデートを行わなくとも防御性能が低下しない製品は多くありません。

当社ではウイルス対策ソフト「Morphisec」を推奨しています。

Morphisecは、特許技術であるMoving Target Defense(メモリのランダマイズ)という防御手法を採用しており、シグネチャや振る舞いといった学習データに依存せず、定期的なアップデートを不要とする防御手法です。

アップデートが行えない環境においても防御性能を低下させることなく、攻撃への対策が可能となります。

また、Morphisecは、アプリケーションの動作が軽量で、端末負荷が非常に低いのでレガシーシステムの延命措置としても採用されています。

さらに、Morphisecは一部のOT機器にもインストールが可能です。

実際に、国内でも工場内でMorphisecが採用されており、閉域ネットワークで活用されています。導入前に行われたPoC(実証実験)では、問題が起こることなく導入が決定されました。

詳細はMorphisecの製品ページからお問合せください。

出典(参考文献一覧)

※1  NTT東日本|VPNとは?メリット・デメリットやおすすめの利用シーンなど解説(参照日:2023-11-02)

関連記事の一覧