Shikata Ga Nai

Private? There is no such things.

攻撃者視点”を理解する③

セキュリティ対策

Hello there, ('ω')ノ

🌐 セクション3:ネットワーク

ネットワークは 企業全体の“道路” のような存在です。
攻撃者は Web やサーバの前に、この“道路のどこに穴があるか”を必ず調べます。

非エンジニアでも理解できるように、
“何を見るべきか”“なぜそこが狙われるのか” を丁寧に説明します。

🛣 3-1. 境界装置(FW / VPN / ルータ)のチェックポイント

ネットワークの“門番”となるのがこれらの装置です。

  • FW(Firewall)= 門であり、通す通信を選別する
  • VPN = 社外→社内の安全な通路
  • ルータ = ネットワークをつなげる道路分岐

攻撃者は最初に 「この企業の外から見える入口はどこか?」 を探します。

🔍 ■ 攻撃者が注目するポイント

1) 不要なポートが開いていないか

例:
- SSH(22番)が全世界から開いている
- RDP(3389)が社外に公開されている
- DBポート(3306など)が誤って外部公開

これは「玄関の鍵をかけ忘れている」のと同じです。

2) 管理画面がインターネットに出ていないか

FW / ルータ の管理画面が公開されていると…

ネットワーク全体を乗っ取られる最悪のリスク

があります。

3) VPN が弱い設定になっていないか

  • ID/パスワードだけ
  • 古いプロトコル(L2TP など)
  • 退職者アカウントが残っている

攻撃者にとって、VPN は「社内に入れる裏口」です。

🛡 防御側がすべき最初のアクション

  • 公開しているポートの棚卸し
  • 管理画面の外部公開を禁止
  • VPN は必ず MFA(多要素認証)を有効にする
  • 使っていないアカウントは削除

非エンジニアでも
「外からどのサービスが見えているか」を IT 部門に確認するだけで
安全度が大きく向上します。

🗺 3-2. ネットワーク分割(セグメント化)の考え方

■ なぜセグメントが重要なのか?

企業のネットワークが “1つにべったり” だと…

  • 1台が感染しただけで社内が全滅
  • 攻撃者がどこでも自由に移動できる
  • ランサムウェアの一斉感染リスクが激増

つまり

セグメント化(ネットワーク分割)は、企業防御の基本中の基本。

🚚 ■ 分割のイメージ:

ネットワークを“目的別に道路を分ける”イメージです。

例:

  • DMZ(インターネット公開サーバ用)
  • 社内PC用
  • サーバ用
  • 管理者専用(高セキュリティ)

外から入れる範囲を最小化し、
内部でも“自由に動けないようにする”仕組みです。

🎯 分割で得られるメリット

  • 攻撃者が横移動しにくくなる
  • 感染時の被害を最小化
  • ログが分散しないため“異常検知”が容易になる

🛡 防御側がすべきこと

  • 自社ネットワークの図(構成図)を作る
  • どのゾーンが外部に面しているか把握する
  • DMZ → 内部の通信を最小限にする
  • 社内PC → サーバ へのアクセスは必要最小限に

構成図を作るだけでも、「危ない部分」が見えてきます。

🧭 3-3. DHCP・ARP から読み取れる構造と危険性

非エンジニアでも理解しやすいように説明します。

■ DHCP・ARPとは?

◆ DHCP

PC に IP アドレスを自動で割り当てる仕組み
→「誰がネットワークにつながったか」が記録される

◆ ARP

PC が近くの機器を確認する仕組み
→「同じネットワークにどんな機器がいるか」が把握できる

🔍 攻撃者はこれをどう利用する?

  • ネットワークにどんな機器が存在するかを把握
  • 重要なサーバ(AD、NAS、DB)を探す
  • 横移動(ネットワーク内での移動)に利用

つまり、
DHCP と ARP は“企業ネットワークの地図”を教えてくれる情報源です。

⚠ よくある危険パターン

  • BYOD(私物PC)が勝手に接続
  • 不審なIoT機器が混ざっている
  • 退職者PCがDHCPに残っている
  • 謎のデバイスがARPに記録されている

🛡 防御側がすべきこと

✔ DHCP リース(割当履歴)の定期確認

  • 不自然なデバイスがないか
  • 登録されている台数が合っているか

✔ ARP テーブルの確認(IT担当が代理可)

  • “知らない機器”が存在しないか
  • 重要サーバの位置が把握できるか

✔ ネットワークへの接続管理を厳格化

  • ゲスト用WiFiと社内用WiFiは完全に分離
  • 私物PCを社内LANに入れない
  • IoT機器は専用ネットワークへ隔離

🧩 3-4. ネットワークの“最初の可視化チェックリスト”

✔ 外部公開されている入口を確認

  • FW
  • VPN
  • ルータ
  • 公開ポート
  • 管理画面が外へ出ていないか

✔ セグメント分割の確認

  • DMZ
  • 社内PC用
  • サーバ用
  • 管理用
    → 現状図を作るだけでOK!

✔ DHCP・ARP で機器の棚卸し

  • 登録機器の一覧
  • 不審な機器の有無
  • 管理されていない端末を排除

✔ ログ・通信の異常を確認

  • 深夜の異常アクセス
  • 不審IPからの通信
  • 通常の業務ではあり得ない通信の増加

🎯 結論:

ネットワークは「入口を絞る」「内部を分割する」「機器を把握する」だけで強固になる

企業で一番起こりやすい事故の原因は、

  • 入口の開けっぱなし
  • 何がつながっているか把握できていない
  • ネットワークが1つにべったり

という “設定や管理の問題” です。

逆に言えば、

ネットワークの“見える化”だけで 80% の攻撃を防げる。

非エンジニアの担当者でも、
今日からできる可視化チェックで大きな改善が可能です。

Best regards, (^^ゞ