ネットワークプロトコルは、ネットワーク上でさまざまな種類のデータを伝送するために使用されます。 たとえば、HTTPはWebトラフィックに使用され、DNSはドメイン名をIPアドレスに変換するために使用されます。 しかし、現代のインターネットで使用されているネットワークプロトコルの多くは安全でなく、暗号化、認証、またはデータ整合性の保護が欠けています。
ネットワークセキュリティプロトコルは、これらのセキュリティギャップに対処するように設計されています。 これらのプロトコルは、既存のプロトコルを拡張または置き換えて、 ネットワークのセキュリティ と信頼性を強化する場合があります。
ネットワークセキュリティプロトコルは、ネットワーク上を流れるデータに重要な保護を提供するために使用されます。 たとえば、初期のネットワークプロトコルの多くはデータの暗号化なしで実装されていたため、ネットワークトラフィックを盗聴した人は誰でも機密データを読み取ることができました。
ネットワークセキュリティプロトコルを実装することで、これらの潜在的なセキュリティリスクに対処することができました。 たとえば、Transport Layer Security (TLS) は、暗号化されていない接続を暗号化されたラッパーで囲み、潜在的な盗聴者から保護します。
ネットワークプロトコルは、さまざまな目的を持つ複数のレイヤーを使用して実装されます。 このエコシステムをモデル化するために複数のフレームワークが開発されていますが、最も広く使用されているのは 開放型システム間相互接続(OSI)モデルです。
OSIモデルは、ネットワークプロトコルスタックをその目的に基づいて7つの層に分割します。 これらの 7 つのレイヤーには、次のものが含まれます。
一般に、ネットワークセキュリティプロトコルは、ネットワークトラフィックの機密性、整合性、認証、またはこれら3つの組み合わせを提供するように設計されています。 以下は、広く使用されているネットワークセキュリティプロトコルの例です。
仮想プライベートネットワーク(VPN) は、OSIモデルのさまざまなレイヤーで動作できます。 たとえば、一般的な VPN プロトコルである IPsec は、レイヤー 3 で実行されます。 ただし、レイヤー 7 プロトコルである HTTPS を使用して VPN を実装することもできます。
実装方法に関係なく、VPNは、トラフィックが通過する暗号化されたトンネルを作成するために使用されます。 SSL/TLSと同様に、VPNは多くの場合、ネットワークトラフィックの保護に使用される暗号化キーを設定するために設計されたハンドシェイクから始まります。 その後、今後のすべてのトラフィックは送信者によって暗号化されてから、ネットワーク経由で受信者に送信され、受信者が復号化します。
VPN は、2 つのパラダイムのいずれかで使用できます。 リモートアクセスVPNは、ユーザーのコンピュータを企業ネットワーク上にあるリモートサーバーに接続するように設計されています。 一方、サイト間VPNは、地理的に分散した2つのネットワークを信頼できないパブリックインターネットを介して接続するように設計されています。
Secure Sockets Layer および Transport Layer Security (SSL/TLS) は、OSI モデルのレイヤー 5 で動作するネットワーク セキュリティ プロトコルです。 このプロトコルは、データの暗号化、認証、整合性保護など、ネットワークトラフィックにいくつかの利点をもたらします。
SSL/TLS接続は、クライアントとサーバー間の安全な接続を設定するために設計されたハンドシェイクから始まります。 このハンドシェイク中に、通信当事者は、暗号化、認証、および整合性チェックのためにセッション中に使用される暗号化アルゴリズムに同意します。
認証は、この初期ハンドシェイク中にも実行されます。 少なくとも、サーバーは、サーバーの ID を検証する X.509 デジタル証明書をクライアントに提供します。 ただし、この 2 つのシステムは、このハンドシェイク中に相互認証を実行することもできます。
SSL/TLSの役割は、安全性の低い他のプロトコルを、暗号化、認証、整合性チェックされたラッパーでラップすることです。 たとえば、HTTPSプロトコルは、SSL/TLSトンネル内で安全でないHTTPプロトコルを実行します。
SSL/TLSは、安定した信頼性の高い接続を確立する 伝送制御プロトコル (TCP)と連携するように設計されています。 ただし、 ユーザーデータグラム プロトコル(UDP)は、コネクションレス伝送を提供する別の一般的に使用されるプロトコルです。
Datagram Transport Layer Security (DTLS) プロトコルは、OSI モデルのレイヤー 5 で動作し、SSL/TLS から派生していますが、コネクションレスで信頼性の低いデータグラムで使用するように設計されています。 このプロトコルは、ビデオ会議、VoIP、オンラインゲームなど、低遅延と遅延を必要とするアプリケーションのデータの整合性とプライバシーを確保するのに役立ちます。
Kerberos は、サービス要求の認証に広く使用されているレイヤー 7 プロトコルです。 これは、信頼できないパブリックネットワークを介して、信頼されたシステム間の要求を認証するように設計されています。
Kerberos は、ID と認証の証明を提供するために使用されるチケットの概念に基づいて構築されています。 一元化された認証サーバーを使用して、ユーザーの ID を検証し、これらのトークンを生成します。 次に、このサーバーを信頼する各システムまたはアプリケーションは、特定の要求を行うユーザーの権限を確認できます。
Kerberosは、Windows、Mac、Linuxなど、ほとんどのオペレーティングシステムでサポートされています。 ただし、これはWindowsのデフォルトの認証プロトコルであり、Active Directory(AD)サービスのコアコンポーネントです。
簡易ネットワーク管理プロトコル (SNMP) は、組織のデバイスを監視および管理するためのレイヤー 7 ネットワーク プロトコルです。 SNMP マネージャーはデバイスを照会でき、デバイス上のエージェントはこれらの要求に応答するか、要求されたアクションを実行します。
SNMPの初期バージョンは安全でなく、暗号化、認証、整合性保護がありませんでした。 SNMPv3 は、2004 年に導入されたプロトコルの更新バージョンであり、最新の安全な暗号化アルゴリズムを使用して、これらすべての機能を提供します。
HTTP は、Web ブラウジングに使用されるレイヤ 7 ネットワーク プロトコルです。 HTTPは最も初期のネットワークプロトコルの1つであり、暗号化されておらず、人間が読めるプロトコルとして実装されました。
ネットワークトラフィックを盗聴している人は誰でも、宛先に向かう途中でHTTPトラフィックを読み取ったり変更したりできます。 支払いカード情報やログイン資格情報などの機密データの送信にインターネットが使用されることが増えたため、重大なセキュリティリスクが生じました。
HTTPSは、データの暗号化、整合性保護、および認証を提供するHTTPプロトコルの安全なバージョンです。 HTTPSは、プロトコルをゼロから書き直すのではなく、SSL/TLSラッパー内でHTTPを実行することで実装されました。 SSL/TLSトンネルが確立されると、クライアントのブラウザとWebサーバー間でデータを伝送するために使用されるHTTPトラフィックに必要な暗号化、認証、および整合性保護が提供されます。
ネットワーク・セキュリティ・プロトコルは、ネットワーク上を流れるデータを保護するように設計されています。 ただし、これらのプロトコルの中には特殊なハードウェアを必要とするものもあり、マルウェアやデータ流出などの一般的な脅威に対する保護を提供するものはありません。
ネットワークセキュリティツールは、一般的なネットワークセキュリティプロトコル(VPNなど)を実装し、悪意のあるトラフィックを特定して組織のシステムに到達するのを阻止するために不可欠です。 チェック・ポイントは、長年にわたりネットワーク・セキュリティ分野のリーダーとして活躍してきました。 30年以上にわたるネットワーク・セキュリティの革新により、チェック・ポイントは Frost & Sullivanのファイアウォール・カンパニー・オブ・ザ・イヤー を受賞し、 2022 G-Suite for Network Firewallsのリーダーに選ばれました。