「単に通信をつなぐ人」はもう古い ネットワーク管理者が“安全につなぐ仕組み”を支えるための基礎知識:「早くつないで」に泣かない管理者への道(2)
新しく企業ネットワークの管理や運用の現場に携わることになった方を対象に、日々の業務で不可欠な「視点」「気付き」のポイントを解説する連載。今回も「企業ネットワーク」を軸に、「ISPネットワーク」「ホームネットワーク」と比較しながら、「セキュリティ」の観点におけるネットワーク管理の基礎知識やポイントなどを解説する。
新しく企業ネットワークの管理や運用の現場に携わることになった方を対象に、日々の業務で不可欠な「視点」「気付き」のポイントを解説する本連載『「早くつないで」に泣かない管理者への道』。前回に続き、今回は「セキュリティ」の観点から、ネットワーク管理者が通信を単に“つなぐ”だけでなく、安定して、より安全につなぐために、どのようなポイントを意識して運用管理すべきかについて紹介します。
近年、ネットワーク管理者がセキュリティ面も併せて担う企業が増えており、管理範囲が以前よりも広がっています。ネットワーク管理そのものに加え、セキュリティも含めたインフラ全体を俯瞰した運用管理が求められる場面が増えているのが実情です。
本記事が、これからネットワーク管理に携わる方にとって、必要な視点を整理するきっかけになれば幸いです。
「ただ通信をつなぐ人」がもう古い理由、ネットワーク管理における「セキュリティ」
ネットワーク管理者がセキュリティを考えるとき、まず思い浮かぶのは、FW(ファイアウォール)やACL(アクセス制御リスト)、ネットワーク分離のためのセグメンテーションではないでしょうか。さらに、ECサイトやWebアプリケーションをサービスとして提供している場合は、ネットワークレイヤーだけでなく、より上位のアプリケーションレイヤーにも目を向ける必要があります。具体的には、WAF(Web Application Firewall)やボット対策、そして近年増加しているDDoS(分散型サービス拒否)攻撃への備えも欠かせません。
DDoS攻撃対策では、回線帯域をどう確保するかだけでなく、どのレイヤーで、どう対策するか、具体的には上位ISP(インターネットサービスプロバイダー)のサービスで防ぐのか、自社内でアプライアンス対応するのか、あるいはSaaS(Software as a Service)型の対策サービスを利用するのかといった点まで考慮する必要があります。
このように挙げるだけでも、ネットワーク管理者が関わるべきセキュリティの論点は多岐にわたります。加えて、前回紹介したようなネットワークそのものの安定運用も継続しなければなりません。つまりネットワーク管理者には、通信を安定して提供しながら、どの領域に優先的に対応すべきかを見極め、効率的に運用していく視点が求められます。
仮にセキュリティを専門に担う別のチームや部署があったとしても、ネットワーク側の設計や設定、運用が、セキュリティチームの対応を大きく左右します。その意味でも、ネットワーク管理者はセキュリティ対策において重要な役割を担っています。
さらに昨今では、企業やISPにおいても、クラウド型SaaSと連携したサービスの利用や提供が拡大しています。SaaSは、初期費用を抑えやすく、機器調達や設計、構築にかかる時間を短縮できることから、オンプレミス環境からクラウド側に移行する「クラウドシフト」の流れを後押ししています。一方で、コストや運用要件、データ管理などの観点から、クラウド型SaaSを利用していた環境から再びオンプレミス環境に戻す「クラウドリパトリエーション」(オンプレミス回帰)の動きも一部で見られます。
このように、オンプレミス環境とクラウド環境が混在し、利用形態が変化し続ける中で、ネットワーク管理者には、環境変化に応じてネットワークとセキュリティの両面を柔軟に管理していくことも求められています。
ホーム、企業、ISPで異なる、「セキュリティ」観点のネットワーク基礎知識
ネットワークのセキュリティといっても、ホームネットワーク、企業ネットワーク、ISPネットワークでは、守る対象も責任範囲も大きく異なります。そのため、新しくネットワーク管理に携わる方は、まず「どの立場で、何を守るのか」を意識することが重要です。前回同様、3つのネットワーク環境で比較をしていきます。
ホームネットワークで必要なセキュリティ観点
ホームネットワークでは、自宅のWi-Fiやホームオフィス環境を安全に利用できることが主な目的になります。例えば、Wi-Fiルーターへのアクセス制御、設定変更は管理者だけが実施できるようにすることや、Wi-Fiへの接続を家族や必要な利用者のみに制限することが基本です。
それ以外にも、Wi-Fiへの接続制御としてMACアドレス制御、マルチSSID(Service Set IDentifier)の活用、WPS(Wi-Fi Protected Setup)の無効化などが挙げられます。推測されやすいパスワードを避け、WPA(Wi-Fi Protected Access)3など、より安全な暗号化方式を利用することも重要ですWi-Fiルーターのファームウェアを最新の状態に保つことは、脆弱(ぜいじゃく)性対策の観点からも欠かせません。
現在は、カフェや駅、商業施設など、さまざまな場所でFree Wi-Fiが提供されています。こうした環境で業務を行う場合、第三者とネットワークを共有することになるので、盗聴や不正アクセスのリスクに注意が必要です。昨今では、こうした環境を悪用した被害も報告されており、ランサムウェア感染や情報漏えいなどに発展した事例もあり、Free Wi-Fiの利用も慎重にする必要があります。勤務先のデバイスを利用している場合など、VPN環境が提供されているなら、通信内容の暗号化や認証情報の保護のためにも、積極的にVPNを利用した方がリスクを低減できますが、やはりVPNソフトウェアのバーションや多要素認証(MFA)の利用、セキュリティへの意識をきちんと持つことが重要です。
企業ネットワークで必要なセキュリティ観点
企業ネットワークにおけるセキュリティでは、まず何よりも「業務を止めない」ことが重要です。その上で、従業員が必要なシステムやサービスを、安全かつ安定して利用できる環境を維持することが求められます。ホームネットワークと比べると、企業ネットワークは接続される利用者や機器の数が多く、守るべき対象もはるかに多くなります。
従業員が利用するPCやスマートフォンだけでなく、社内システム、サーバ、クラウドサービス、拠点間接続(Site-to-Site接続)、VPN、さらには外部公開しているWebサイトやサービス、アプリケーション、企業の機密情報まで含まれます。つまり企業ネットワークでは、単に社内の通信をつなぐだけではなく、社内外にまたがる多様な接続を、安全性と可用性の両面から支えることが求められます。そのため、FWやACLによる通信制御に加え、ネットワークセグメンテーションによって、業務や部署、システムごとに通信範囲や影響範囲を分離することが重要です。
例えば、社内利用端末のネットワーク、サーバセグメント、来訪者向けのゲストネットワーク、管理用ネットワークなどを分離しておくことで、ある端末やセグメントでインシデントが発生した場合でも、影響を限定し、他のシステムや利用者に被害が広がることを防ぎやすくなります。これは、単なる利便性のためのネットワーク分割ではなく、影響を最小化するための設計として重要です。
テレワークの普及に伴い、自宅や外出先からVPNを経由して企業ネットワークに接続するケースも一般的になっています。VPNは社内ネットワークへの重要な入り口なので、ID・パスワードだけでなく、多要素認証、接続元端末の管理、アクセスログの取得、確認といった対策が重要になります。
特に、企業が直接管理していないネットワークから接続されることを前提にすると、単に「つながる」ことがゴールではありません。「誰が」「どの端末で」「どこから」「どのシステムへアクセスしているか」を継続的に把握し、必要に応じて制御できるようにしておくことが求められます。
ECサイトやWebアプリケーションを公開している企業では、ネットワークレイヤーだけでなく、アプリケーションレイヤーの対策も欠かせません。例えば、WAFによる保護、ボットによる不正アクセスや不正ログイン、買い占めやスクレイピングへの対策、さらにはDDoS攻撃への防御などが挙げられます。
これからの企業ネットワークでは、通信が単に“つながっている”だけでは十分ではなく、正規利用者の利便性を保ちながら、悪意のあるアクセスを見分けて制御するという観点が必要です。
見落としてはならないのが、ネットワーク機器やサービスの脆弱性管理です。企業で利用しているルーター、FW、ロードバランサー、VPN装置、無線LANコントローラーなどに脆弱性が存在すると、そこが悪意あるユーザー(サイバー攻撃者)の侵入口となり、不正アクセスや情報漏えい、サービス停止につながる可能性があります。特に、これらの機器は重要な経路や境界部分に配置されていることが多く、ひとたび悪用されると影響範囲が大きくなりやすい点で注意が必要です。
SaaSやクラウドサービスも「使っているから安全」とは限りません。サービス側で脆弱性が発見されたり、設定不備や認証管理の甘さがあったりすると、企業のデータやアカウントがリスクにさらされる可能性があります。そのため、どのサービスを利用しているのかを把握し、障害情報や脆弱性情報、設定内容、認証方式などを継続的に確認していく姿勢が重要です。
一方で、セキュリティ対策は「強化すればするほどよい」わけではありません。制御を厳しくし過ぎると、業務で必要な通信まで止めてしまったり、運用が複雑化したりすることがあります。そのため企業ネットワークでは、可用性と安全性のバランスをとりながら、継続的に見直し、改善することが大切です。
近年、SaaSやIaaS、複数クラウドの利用が進み、通信の宛先や経路は社内だけでは完結しなくなっています。そのためネットワーク管理者には、従来の社内LANや拠点間接続だけでなく、クラウドサービスへのアクセス制御、インターネットブレークアウト、DNS(Domain Name System)やプロキシの運用、SASE(Secure Access Service Edge)、ゼロトラストといった考え方も視野に入れた設計、運用が求められるようになっています。つまり、企業ネットワークのセキュリティは、以前のように“社内と社外の境界を守る”だけではなく、社内外に分散した利用環境全体を安全につなぐことへと広がっています。その意味で、ネットワーク管理者は単に「つなぐ人」ではなく、業務を止めずに、安全につなぐ仕組みを支える人と言えます。
ISPネットワークで必要なセキュリティ観点
ISPネットワークは、ホームネットワークや企業ネットワークとは異なり、多数の利用者に対して安定した通信基盤を提供し続けることが大きな役割です。そのため、セキュリティの考え方も、個別の利用者や機器を守るだけではなく、ネットワーク全体の安定性や継続性をどう守るかという、より広い視点が求められます。
多くの利用者の通信を日常的に扱うISPでは、設備障害や大規模な攻撃の影響が広範囲に及ぶ可能性があります。そのため、ルーターやスイッチ、回線設備の冗長化、経路制御による迂回(うかい)、障害時の早期復旧といった可用性の確保が非常に重要です。
セキュリティ対策を考える際にも、単に攻撃を防ぐだけでなく、サービスを止めないこと、影響範囲を最小化することが欠かせません。
ISPにとって大きな課題の一つが、DDoS攻撃や不正トラフィックへの対応です。企業ネットワークでは対処し切れないような大量トラフィックが発生した場合、ISP側での検知や緩和が必要になるケースもあります。そのため、「どのポイントで異常を検知するか」「どこでトラフィックを制御するか」「正常な通信への影響を抑えながらどのように対策を実施するか」といった、広域ネットワークならではの判断が重要になります。
ISPは利用者にインターネット接続そのものを提供する立場にあるので、外部との接続性や経路の健全性も常に意識しなければなりません。BGP(Border Gateway Protocol)をはじめとする経路制御、トラフィックの偏り、上位回線との接続状況、設備ごとの負荷状況なども、安定したサービス提供のために継続的に監視、運用する必要があります。これは単なる障害対策にとどまらず、異常なトラフィックや不審な挙動を早期に把握する意味でも、セキュリティと深く関係しています。
筆者自身、キャリアでの運用オペレーター時代、特定ポートの通信を止めていないかどうか、回線が使えないので回線状況、輻輳(ふくそう)や経路を確認して、ユーザー対応をしたことがあります。エンドユーザーは、自社回線に何かあった場合、上位回線で何か止めている原因や影響がないかどうか必ず確認するからです。
近年は、企業によるSaaS利用の拡大に伴い、ISPにもSaaS接続を前提としたネットワーク品質とセキュリティ対策が求められるようになっています。企業によっては、機密データをインターネット経由にしたくないので、SaaSへ閉域接続する場合があります。一方で、コストや導入スピード、柔軟性の観点から、インターネット接続を通じてSaaSを利用するケースも多く見られます。
インターネット経由でSaaSを利用する場合は、盗聴、なりすまし、不正アクセス、設定不備による情報漏えいなどのリスクを意識する必要があります。そのため、通信の暗号化、DNSや経路の健全性確保、ACL、認証強化、多要素認証、ログの取得、監視など、複数の観点から安全性を確保することが重要です。
ISPでは、ルーターやスイッチ、ロードバランサー、FWなど、通信基盤を支えるネットワーク機器そのものの脆弱性管理も極めて重要です。これらの機器で利用されているOS、ソフトウェア、ファームウェアに脆弱性が存在すると、それを悪用されて不正アクセスや設定改ざん、通信妨害、さらには広範囲な障害につながる恐れがあります。
特にISPの機器は、広域ネットワークの中核を担うことが多く、1台当たりの影響範囲が非常に大きいので、企業ネットワーク以上に慎重な管理が求められます。最近では、AIを活用して脆弱性を発見、分析する取り組みも進んでおり、脆弱性の発見スピードは今後さらに加速する可能性があります。そのため、製品ベンダーだけでなく、それらを利用している企業やISPの運用者側にも、これまで以上に迅速な評価と対応が求められています。
脆弱性情報やベンダーのアドバイザリを継続的に確認し、影響有無の評価、ソフトウェアやファームウェアの更新計画、事前検証、メンテナンス手順の整備まで含めた運用が重要です。脆弱性対策は、単なる機器保守ではなく、サービス継続性を守るためのセキュリティ運用の一部として考える必要があります。
ISPでは多数のユーザーや企業を収容しているので、1つの設定変更で障害が広い範囲へ影響を与える可能性があります。そのため、設定変更の計画性や事前検証、影響範囲の見極め、監視体制の整備など、日々の運用そのものがセキュリティと安定提供の両面に直結します。つまりISPにおけるセキュリティは、特定の機器だけを守る話ではなく、広域な通信基盤を支え続けるための運用全体の品質と密接に結び付いているのです。
このように、ISPのセキュリティ目線は、ホームネットワークや企業ネットワークと比べて、より広域かつ社会インフラに近いものになります。多くのユーザーにとって「当たり前につながる」状態を維持するには、通信品質や可用性、異常検知、攻撃対策、脆弱性管理、SaaS接続を含む多様な通信形態への対応を、広い視野で考え続ける必要があります。その意味で、ISPのネットワーク管理者には、個別の接続設定だけではなく、ネットワーク全体の健全性を守る役割が強く求められます。
ネットワーク管理者がセキュリティの観点も持つ際に大事な5つのポイント
ここまで見てきたように、ネットワーク管理者の役割は、もはや単に「通信をつなぐこと」だけではありません。今求められているのは、“当たり前につながる”環境を、止めずに、安全に、そして変化に追従しながら守り続けることです。そのために意識したいポイントは、次の通りです。
1.可用性と安全性の両立で考える
セキュリティを強化するだけでは不十分です。業務やサービスを止めないことも同じくらい重要です。「守るために止める」のではなく、 “守りながら止めない” 視点を持つことが大切です。
2.どこを守るかを明確にする
ホーム、企業、ISPで、守る対象も責任範囲も異なります。まずは、自分が何を守る立場なのかを意識することが重要です。
3.境界だけでなく、全体を見る
今はオンプレミス、クラウド、SaaS、VPN、テレワークなど接続先や経路が分散しています。そのため、境界装置だけではなく、ユーザーや端末、通信経路、アプリケーション、運用まで含めて考える視点が必要です。
4.一度の設定だけでなく、継続的な運用
FWやACL、WAF、VPN、ルーターなどは、導入だけではセキュリティが不十分です。ログの確認や脆弱性情報の収集、設定の見直し、アップデート対応など、継続的な運用があってこそ、安全性が維持されます。
5.ネットワーク管理者は“安全につなぐ仕組み”を支える役目
セキュリティ担当が別にいても、最終的に通信をどう通し、どこで制御するのかは、ネットワーク管理者の仕事に深く関わります。だからこそ、ネットワーク管理者は単なる“配線や設定の担当”ではなく、安心して使えるITインフラを支える重要な役割を担っています。
まとめ
今回のセキュリティ編では、ホーム・企業・ISPネットワークという3つの視点から、ネットワーク管理者に求められる役割や考え方を整理してきました。一口に「ネットワークのセキュリティ」といっても、守る対象や責任範囲は環境によって大きく異なります。しかし、どの環境にも共通しているのは、単に通信を通すだけではなく、必要な通信を安全かつ安定して通し続けることが求められている点です。
次回は、その中でも特に企業ネットワークとISPネットワークに焦点を当て、ネットワークとセキュリティの関係に加え、SaaS利用の広がりやAI活用が運用や脆弱性対応に与える影響も踏まえながら、具体的に解説します。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
続・Interop Tokyo 2026で出会える最新プロダクト セキュリティ編
「Interop Tokyo 2026で出会える最新プロダクト」の後編として、セキュリティ製品を取り上げる。出展製品のトレンドとして、「統合」「AIによる機能強化」の2つが見られる。AIセキュリティでは、AIモデル自体に修正を加える製品も登場する。
ぐるなびが“脱VPN” 「リスクが減り、コストも4割減」をどう実現?
VPNシステムを廃止したぐるなびは、リモートアクセスのセキュリティ向上に加えて、運用コストも約4割削減したという。こうした成果はどのように実現したのか。
FortiGateの「SSL-VPN」機能、サポート終了迫る 廃止の理由、代替案は? 有志が勉強会
国内でも利用組織の多いフォーティネットの製品で、SSL-VPNの機能廃止が告知されて久しい。2026年4月時点では、FortiOS 7.4系列における技術サポート終了が2027年5月11日、サポート終了が2028年11月11日となっている。FortiOS 7.6.3以降はSSL-VPN機能が廃止済みであり、代替先の検討と移行対応が必要となる。こうした状況を踏まえ、セキュリティコミュニティー「WEST-SEC」が、「学びの共有」を目的とした勉強会を開催した。
「NaaS」に関心が集まる訳は?――AI活用でトラフィック増加、セキュリティも不安
MM総研の調査によると、AI活用を見据えてITインフラの見直しに着手する企業が4割を超えた。トラフィック増大とセキュリティ対策が課題となる中、NaaS(Network as a Service)への期待が高まっている。
「マイクロセグメンテーション」を1週間で実現 パナソニックIS、“ハードウェアに依存しない”を採用
パナソニック インフォメーションシステムズは、ソフトウェア型のマイクロセグメンテーション製品「Akamai Guardicore Segmentation」を採用。1週間でマイクロセグメンテーションを実現した。