Skip to content

Network Security Design

コンポーネント役割
Threat defense脅威検知・遮断(IPS, URL filtering, malware対策)
Endpoint security端末保護(EDR, posture, access control)
NGFW (Next-Generation Firewall)L7可視化とアプリ制御、IPS連携
TrustSecSGT(Security Group Tag)ベースのセグメンテーション
MACsec (802.1AE)L2ホップバイホップ暗号化

設計観点

観点
セグメンテーション役割単位で通信を最小許可
可視化フロー/ログで横断監視
防御深度境界防御 + 内部東西トラフィック対策
運用連携SIEM/SOARや自動化との連携

システムの安全性・信頼性設計

設計方法説明
フェールセーフ (Fail-Safe)障害発生時に被害を最小限にとどめるようシステムを停止する
フェールソフト (Fail-Soft)障害の発生箇所を切り離し、性能が低下しても処理を継続する
フールプルーフ (Fool-Proof)誤った操作を行っても、誤動作せずに安全性を保つ設計
フォールトトレラント (Fault-Tolerant)障害発生を前提に、機器を冗長化するなどして全体のシステムを止めない

重要: フェールセーフとフェールソフトの違い。フェールセーフは「安全に停止」、フェールソフトは「縮退して継続」。セキュリティにおけるフェールセーフの例:認証サーバがダウンした場合に社内ネットワークへのアクセスを遮断し、安全な状態を確保する。

Cisco SAFE

Ciscoが提唱する安全なネットワーク設計のためのセキュリティフレームワーク。以下の環境を対象とする:

データセンター / ブランチ / キャンパスネットワーク / WAN / インターネットエッジ / クラウド

トラフィックの方向

方向説明セキュリティ対策例
North-South(南北)外部(インターネット)と内部(DC/社内)間の通信境界NGFW, WSA, ESA
East-West(東西)DC/社内ネットワーク内部のサーバ・アプリ間通信DC内NGFW(IPS機能付き)

重要: East-Westトラフィックのセキュリティ対策は、DC内にIPS機能を備えたNGFWを設置してサーバ間のマルウェア横展開を防ぐこと。境界NGFWやWSA/ESAはNorth-South対策であり、East-West対策にはならない。

セキュアドメイン

セキュアドメイン説明
管理ネットワーク機器/システムの一元管理(ポリシー適用、設定変更、パッチ適用)
セキュリティインテリジェンスマルウェアや脅威の検出、タイムリーなセキュリティ保護
コンプライアンスセキュリティ基準や法規制に則った運用
セグメンテーションアドレス/VLANでデータやユーザの境界を確立
脅威に対する防御テレメトリ/ファイルレピュテーション/コンテキスト情報で脅威を可視化し対応
セキュアサービスアクセス制御やVPNでネットワークを保護

重要: 「脅威に対する防御」ドメインではネットワークトラフィックテレメトリやコンテキスト情報(デバイスタイプ、ユーザー名、特権レベル等)を活用して脅威に対応する。「管理」ドメインと混同しないこと。

Cisco TrustSec

SGT(Security Group Tag)ベースのアクセス制御機能。通常のACL(IP/ポート番号)ではなくグループ単位で制御するため、管理が簡素化される。

TrustSec 構成要素

用語説明
SG (Security Group)ユーザ/デバイスを分類するグループ(例:社員、請負社員、ゲスト)
SGT (SG Tag)パケットに付与される送信元SGを示すタグ。認証情報/IPアドレス/VLANから判断
SGACL (SG Access Control List)SGTを利用したアクセス制御リスト。ISEから各スイッチ/ルータに配布
ISE (Identity Services Engine)認証サーバ。AAA/SGT/SGACLを一元管理

TrustSec アクセス制御フロー

  1. PC接続 → オーセンティケータ(スイッチ)に接続
  2. ISEで802.1X認証、認証情報からSGを確認
  3. 認証後、サーバにアクセス
  4. TrustSecドメイン入口の機器がパケットにSGTを付与
  5. TrustSecドメイン出口の機器がSGACLに従いフィルタリング
  6. 許可ならSGTを外して転送、拒否ならパケットを破棄

重要: SGTの管理はISE(認証サーバ)が行い、オーセンティケータ(スイッチ)ではない。通常のACLよりもグループ単位で柔軟に制御でき、運用負担が軽減される。

Cisco Firepower NGFW

NGIPS(侵入防御)、AMP(マルウェア防御)などを備えた多層防御のNGFW製品。

防御機能

機能説明
NGFWL7可視化、アプリケーション制御
NGIPS次世代侵入防御システム(シグネチャベース + 振る舞い検知)
AMP (Advanced Malware Protection)マルウェアの検出・ブロック・追跡

ソフトウェア構成

構成説明
ASA + Firepower ServicesASA(従来FW)にFirepower Servicesモジュールを追加。別々のソフトウェアを組み合わせる
FTD (Firewall Threat Defense)FW機能 + NGIPS + AMP等を統合したソフトウェア。組み合わせ不要

重要: FTDはASA + Firepower Servicesの機能を1つに統合したもの。FTDなら別々のソフトウェアを組み合わせる必要がない。

Cisco Umbrella

DNSの仕組みを用いたクラウド型セキュリティサービス。外部DNSの参照先をCiscoのクラウドDNSに向け、危険なドメインへのアクセスをブロックする。

項目内容
仕組みDNSクエリをCisco Umbrellaに向け、脅威DBで判定
脅威インテリジェンスCisco Talos(Ciscoのセキュリティ研究チーム)のデータを活用
導入方法DNSサーバの参照先を変更するだけ(クラウド型のため導入が容易)

重要: UmbrellaはDNSレイヤーの防御。FW/IPSのようにパケットを検査するのではなく、名前解決の段階で危険なドメインをブロックする。

Cisco StealthWatch

NetFlowを収集してネットワークの監視・分析を行い、脅威を自動検出するセキュリティ製品。

項目内容
データソースルータ/スイッチのNetFlow
検出対象DDoS攻撃、不正な暗号化、未知のマルウェア、ランサムウェア等
可視化デバイス、ユーザ、トラフィックをリアルタイムで認識
監視範囲内外対策(North-South)+ 内部間通信(East-West)の両方

重要: StealthWatchは脅威の検出を行うが、自動ブロックは行わない。また内部間通信(East-West)の監視も可能であり、外部通信のみの対策という記述は誤り。ゲストポータルはISEの機能でありStealthWatchではない。

Cisco WSA (Web Security Appliance)

Webサイト経由のマルウェア侵入をブロックするセキュリティ製品。オンプレミス/クラウドに展開可能。Cisco Talosの脅威インテリジェンスを活用。

Before / During / After 防御モデル

フェーズ対策内容
Before(攻撃前)脅威インテリジェンスに基づき、疑わしいWebサイトへのアクセスをブロック
During(攻撃中)ネットワークに侵入した脅威を特定してブロック
After(攻撃後)未知のマルウェアを特定、感染デバイスの調査

重要: WSAは攻撃後(After)対策も行う。「脅威が侵入したネットワークでは動作しない」は誤り。オンプレミス限定ではなくクラウド展開も可能。

Cisco ESA (Email Security Appliance)

Eメール経由の脅威対策に用いるセキュリティ製品。スパムメールのブロック、メール経由のマルウェア感染防止。

重要: WSA = Web対策、ESA = Email対策。選択肢でEDR/ネットワーク監視/DNS/Webサイトの記述があればESAではない。

用語分類:デファクト vs Cisco語

用語分類
NGFW, IPS, VPN, AAA, RADIUSデファクト(業界標準)
FTD, ASA, Firepower, AMP, NGIPSCisco語(製品/ブランド名)
ISE, TrustSec, SGT, SGACL, pxGridCisco語(技術/機能名)
Umbrella, WSA, ESA, Talos, StealthWatchCisco語(サービス/製品名)
SAFE, aWIPS, DNA Center, DNA SpacesCisco語(フレームワーク/管理基盤)

試験ポイント

  • 5.4 は無線方式(WPA/802.1X)ではなく、ネットワーク全体のセキュリティ設計コンポーネントを問う。
  • TrustSec は「分類」、MACsec は「暗号化」という役割分担を区別する。