情報セキュリティ・キーワード 2025 ② ネットワークセキュリティ

ファイアウォール、VPN、IDS/IPSなど、ネットワークを構成する基盤に対するセキュリティ対策と、無線LAN、DDoS攻撃への防御策に関わるキーワードを取り上げます。

• 2.1ネットワークの基礎とセキュリティゾーン
• 2.2 ファイアウォール、IDS/IPS、WAF
• 2.3 VPN、TLS/SSL
• 2.4 無線LANセキュリティ（WPA、WPA2、WPA3）
• 2.5 DDoS対策
• 2.6 ネットワーク監視と分析（NetFlow、パケットキャプチャ）

2.1ネットワークの基礎とセキュリティゾーン

TCP/IP (Transmission Control Protocol/Internet Protocol)
インターネットをはじめとする多くのネットワークで利用されている通信プロトコル群の総称。データ通信の基盤となる。

ポート (Port)
TCP/UDP通信において、アプリケーションやサービスを識別するための番号。ウェルノウンポート番号（HTTP:80, HTTPS:443など）がある。セキュリティ対策では、不要なポートを閉鎖することが基本となる。

プロトコル (Protocol)
コンピュータ間で通信を行う際の規則や手順。

IPアドレス (IP Address)
ネットワーク上のデバイスを識別するための番号。IPv4とIPv6がある。

MACアドレス (Media Access Control Address)
ネットワークインターフェースカード (NIC) に割り当てられた物理的な識別子。

ルーティング (Routing)
ネットワーク間でデータを適切な経路に転送する機能。

VLAN (Virtual Local Area Network)
物理的なネットワーク構成に関わらず、論理的にネットワークを分割する技術。セキュリティ上、部門や用途ごとにネットワークを分離するために使われる。

DMZ (DeMilitarized Zone)
内部ネットワークと外部ネットワーク（インターネットなど）の間に設けられる緩衝地帯。Webサーバーやメールサーバーなど、外部に公開するサーバーを配置し、内部ネットワークへの直接侵入を防ぐ。

セグメンテーション (Segmentation)
ネットワークを複数の小さな論理的な区画（セグメント）に分割すること。これにより、攻撃が拡散するのを防ぎ、影響範囲を限定できる。

ネットワークアクセス制御 (Network Access Control: NAC)
ネットワークに接続しようとするデバイスやユーザーを認証・認可し、セキュリティポリシーに準拠しているかを確認して、ネットワークへのアクセスを制御する仕組み。

2.2 ファイアウォール、IDS/IPS、WAF

ファイアウォール (Firewall)
ネットワークの境界に設置され、事前に設定されたルールに基づいて、通過する通信を監視し、許可または遮断するセキュリティ装置。パケットフィルタリング型、ステートフルインスペクション型などがある。

パケットフィルタリング型ファイアウォール (Packet Filtering Firewall)
最も基本的なファイアウォール方式で、通信を構成する個々のパケットのヘッダー情報（送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号、プロトコルなど）のみを見て、設定されたルールと照合し、通過させるか遮断するかを判断する。

ステートフルインスペクション型ファイアウォール (Stateful Inspection Firewall)
パケットフィルタリング型の機能に加え、通信の「ステート（状態）」を記憶し、セッション全体の流れを認識してフィルタリングを行うファイアウォール。現代の主流なファイアウォール方式。

IDS (Intrusion Detection System: 侵入検知システム)
ネットワークやシステムへの不正なアクセスや攻撃を検知し、管理者へ通知するシステム。検知のみ行い、通信の遮断は行わない。

IPS (Intrusion Prevention System: 侵入防止システム)
IDSの機能に加え、不正なアクセスや攻撃を検知した際に、その通信をリアルタイムで遮断するなど、自動的に防御措置を講じるシステム。

WAF (Web Application Firewall: Webアプリケーションファイアウォール)
Webアプリケーション層での攻撃（SQLインジェクション、XSSなど）を検知・防御することに特化したファイアウォール。

2.3 VPN、TLS/SSL

VPN (Virtual Private Network: 仮想プライベートネットワーク)
公衆回線（インターネットなど）上に仮想的なプライベートネットワークを構築し、暗号化などの技術を用いて安全な通信経路を確保する技術。リモートアクセスや拠点間接続に利用される。

IPsec (IP Security)
IPプロトコルレベルで暗号化と認証を行うためのプロトコル。主にVPNの実現に用いられる。

TLS (Transport Layer Security)
インターネットなどのネットワークを介した通信を暗号化し、盗聴や改ざんを防ぐためのプロトコル。SSLの後継技術。

SSL (Secure Sockets Layer)
TLSの旧称。Webサイトの暗号化通信に広く用いられた。現在ではTLSの使用が推奨され

2.4 無線LANセキュリティ（WPA、WPA2、WPA3）

SSID (Service Set Identifier)
無線LANのネットワークを識別するための名前。

WPA (Wi-Fi Protected Access)
無線LANのセキュリティプロトコル。WEPの脆弱性を改善するために開発された。

WPA2 (Wi-Fi Protected Access II)
WPAの後継。より強力な暗号化アルゴリズム（AES）を採用し、セキュリティが強化された。現在広く普及している。

WPA3 (Wi-Fi Protected Access III)
WPA2の後継。最新の無線LANセキュリティ標準で、より堅牢な暗号化、簡易パスワードでの保護強化、オープンネットワークでの暗号化などが特徴。

WEP (Wired Equivalent Privacy)
無線LANの初期のセキュリティプロトコル。現在では脆弱性が多く、使用は推奨されていない。

EAP (Extensible Authentication Protocol)
ネットワークアクセス認証のための汎用フレームワーク。WPA2/WPA3のエンタープライズモードなどで利用され、ユーザー認証に柔軟性を提供する。

RADIUS (Remote Authentication Dial-In User Service)
ネットワークアクセス認証、認可、アカウンティング (AAA) を行うためのクライアント/サーバープロトコル。EAPと組み合わせて使用されることが多い。

2.5 DDoS対策

DDoSミティゲーション (DDoS Mitigation)
DDoS攻撃のトラフィックを検知し、正規のトラフィックと区別して、攻撃トラフィックを遮断または軽減する対策。

CDN (Content Delivery Network)
Webコンテンツを複数の地理的に分散したサーバーにキャッシュし、ユーザーに最も近いサーバーから配信することで、配信速度を向上させ、DDoS攻撃に対する耐性も高める。

2.6 ネットワーク監視と分析（NetFlow、パケットキャプチャ）

NetFlow
ネットワーク機器（ルーターやスイッチ）を通過するIPトラフィックのフロー情報を収集する技術。ネットワークの利用状況、異常なトラフィックの検知などに利用される。

パケットキャプチャ (Packet Capture)
ネットワーク上を流れるパケットを捕捉し、内容を記録すること。ネットワークトラブルシューティングやセキュリティ分析（不正通信の解析など）に利用される。

ポートミラーリング / SPAN (Switched Port Analyzer)
スイッチの特定ポートを流れるトラフィックを、別の監視用ポートにコピーして出力する機能。IDS/IPSやパケットキャプチャツールでの監視に利用される。

Nmap
ネットワーク上のホストやサービス、ポートの状態などを調査するためのオープンソースツール。ポートスキャンやOS判別などに利用される。

Wi-Fiアナライザ (Wi-Fi Analyzer)
無線LANの電波状況、SSID、チャネル、信号強度などを可視化し、無線LAN環境の最適化やトラブルシューティング、不正なアクセスポイントの検出などに利用されるツール。