閉域網 (へいいきもう/クローズドネットワーク)とは?

閉域網 (へいいきもう/クローズドネットワーク)とは?

閉域網とは、特定の拠点内から、あるいは限られたユーザーのみアクセスできるプライベートなネットワークです。インターネットのように不特定多数のユーザーが利用できる回線とは異なり、原則として関係者以外はネットワークに接続できません。そのため、Closed Network（クローズド・ネットワーク）とも呼ばれます。

閉域網の種類

閉域網の種類

専用線

専用線とは、拠点間の通信を1対1の関係性で接続する独占的なネットワークです。特定の拠点同士を物理的な専用ケーブルで接続し、契約した企業が占有する仕組みです。そのため、強固なセキュリティを担保できるとともに、広帯域での高品質な通信が可能です。

専用線の主利用シーンとして、本社と重要拠点間での通信や極めて機密性の高い情報の共有、あるいは遅延の許されない通信などが挙げられます。ただし専用線は原則として3拠点以上のネットワーク接続に対応できません。また、拠点間の物理的な距離に応じてコストが変動する点にも注意が必要です。

広域イーサネット

広域イーサネットとは、複数拠点の社内ネットワークをEthernetプロトコルで相互接続するVPNサービスです。通信事業者が指定の帯域を確保し、品質を保証する帯域確保型の回線であるため、トラフィックの状況によりパフォーマンスが低下するデメリットがありません。

また、広域イーサネットはデータリンク層（レイヤ2）でVPN接続する仕組みであり、IP以外の通信プロトコルにも対応できます。したがって、高度なセキュリティの確保と柔軟性の高いネットワーク環境の構築を両立できます。しかしルーティングを柔軟に設定できる反面、ネットワークに関する高度な知見を求められます。

IP-VPN (VPN：Virtual Private Network)

IP-VPNとは、広域イーサネットと同じく、通信事業者が提供する帯域確保型のVPNを利用するネットワークです。広域イーサネットとの主な違いは通信プロトコルです。広域イーサネットはマルチプロトコルに対応できますが、ネットワーク層（レイヤ3）で閉域網を構築するIP-VPNはプロトコルがIPに限定されます。

IP-VPNは自由度が低いもののルーティング設定が比較的容易であり、なおかつ広域イーサネットと同レベルのセキュリティとパフォーマンスを担保できる点がメリットです。そのため、多くの拠点を持つ組織で、一般的なネットワーク構成で要件を満たせる場合にはIP-VPNが適しています。。

エントリーVPN

エントリーVPNとは、ADSLやFTTHのようなブロードバンド回線を介して閉域網を利用するVPNサービスです。インターネット回線と通信事業者が提供する閉域網のハイブリッドなネットワークであり、比較的安価なコストで高い水準のセキュリティレベルを実現できます。

エントリーVPNは、広域イーサネットやIP-VPNと同じく通信事業者の閉域網を使用するサービスですが、帯域確保型ではなくベストエフォート型という点が大きく異なります。ベストエフォート型は帯域幅の保証がないため、トラフィックの状況によって通信速度や接続可能性が変動するので注意が必要です。

インターネットVPN

インターネットVPNとは、オンライン上に仮想化された専用網を構築する技術です。二点間のネットワークを仮想的に直結回線にするトンネリングや、送信するデータを不可読な形式に変換する暗号化などの技術を用いてプライベートなネットワークを構築します。

あくまでも仮想的な閉域網を構築する技術であり、先述した4つの閉域網よりもセキュリティレベルが劣るので注意が必要です。さらにベストエフォート型のため、通信品質の安定性が低いというデメリットがあります。一方で、専用線や他のVPNサービスよりも手軽かつ低コストで導入できるメリットがあります。

閉域網のメリット・デメリット

メリット

閉域網のメリットは、一般的なインターネットとは切り離された専用網を利用することで、不正アクセスによる情報の窃取やマルウェアの感染などのリスクを軽減できる点です。また、企業独自の要件に応じた帯域幅の確保により、拠点間における高速かつ安定的な大容量通信を実現できます。

VPNを活用すれば、セキュリティリスクを抑えられます。たとえばテレワーク環境では、外部から社内ネットワークにアクセスする必要があります。このとき、一般的なインターネット回線で懸念される第三者による盗聴や不正アクセスなどのリスクが、VPNを使えば抑えられます。

デメリット

閉域網は基本的にセキュリティの強度と帯域幅の広さに応じてコストが増大します。
先に紹介した閉域網のなかで、最も高い水準のセキュリティと通信品質を担保できるのは専用線ですが、1対1の拠点間のみの通信であり距離に応じて費用が増大します。広域イーサネットも拠点の数や場所などで費用が増えます。

一方で、IP-VPNやインターネットVPNは、専用線や広域イーサネットよりも安価で済みますが、セキュリティや機能面で劣るところがあります。

セキュリティの強度と帯域幅の広さに応じてコストが増大するため、自社にあったネットワークの選定が重要です。

閉域網は適材適所で使い分けるのがポイント

閉域網は適材適所で使い分けるのがポイント

セキュリティ・通信速度を重視する場合は「専用線」

専用線は、厳格なセキュリティと通信速度の安定性を重視する場合に適しています。2拠点間を専用網で物理的に結ぶため、インターネット回線を介した情報の窃取や情報機器の乗っ取りなどのセキュリティリスクを排除できます。

たとえば公的機関、金融機関、インフラ関連企業などは、拠点間の高速な大容量通信と極めて強固なセキュリティが必要です。このようなケースではコストが高額ではあるものの、高水準のセキュリティと広い帯域幅を確保できる専用線の利用が推奨されます。

柔軟なカスタマイズ性を求める場合は「広域イーサネット」

広域イーサネットは、クローズドなネットワーク環境を構築しつつ、柔軟性と拡張性を重視する場合に適しています。

広域イーサネットは、地理的に離れた複数拠点をEthernetで相互接続できるとともに、IPv4やIPv6を含むレイヤ3以上のさまざまなプロトコルをサポートできます。そのため、複数の拠点で独自のネットワーク要件を満たす必要がある場合には広域イーサネットが適しています。

拠点ごとに業務内容が異なり、セキュリティ要件が異なるようなときにも柔軟に設計できる広域イーサネットがおすすめです。

多拠点を閉域網で結ぶ場合は「IP-VPN」

IP-VPNは、多数の拠点を有する企業で、高度なネットワーク設定が不要な場合におすすめです。IP-VPNは自由度が限定的でマルチプロトコルには対応できないものの、広域イーサネットのように各拠点で複雑なルーティング情報を設定する必要がありません。

そして専用線と広域イーサネットよりも導入や運用が容易でありながら、高いセキュリティと帯域確保型の安定的な通信速度を確保できます。閉域網を多数の拠点に素早く導入したいケースに適しています。

コスト重視で閉域網を使用したい場合は「エントリーVPN」

エントリーVPNは、可能な限りコストを抑えたい場合に使われます。先述したように、エントリーVPNはブロードバンド回線を使用して通信事業者が提供する閉域網に接続する方式であり、帯域幅の保証がないもののコストを抑えられる点がメリットです。

エントリーVPNはインターネットと繋がっていない閉域網の中でVPNを構築する方式であることから、インターネットVPNより安全性は高いです。厳格なセキュリティ要件は求められないものの、テレワーク環境で安全に情報を共有したい場合などに適しています。

ネットワークにおけるセキュリティリスク

マルウェア・ランサムウェア攻撃

閉域網を用いてクローズドなネットワークを構築しても、すべてのセキュリティリスクを排除できるわけではありません。マルウェアやランサムウェアに感染したデバイスを踏み台として、社内ネットワークに侵入される可能性があるためです。

たとえばフィッシングメールにランサムウェアが仕込まれていた場合、感染したPCを起点として社内ネットワーク全体に被害が及ぶ恐れがあります。こうしたセキュリティリスクは閉域網のみでは対応できないため、OSの更新やウイルス対策ソフトの導入といった基本的な対策の徹底が大切です。

アップデート時のウイルス感染

閉域網でも起こり得るセキュリティリスクの1つが、アップデート時のウイルス感染です。たとえばクローズドなネットワーク環境のシステムでも、セキュリティパッチの適用やソフトウェアの更新が必要なケースがあります。

このとき、ソフトウェアの機能追加やバグの修正を実行する更新ファイルのダウンロードにあたっては、原則としてインターネット環境に接続しなくてはなりません。このアップデートやセキュリティパッチの適用時に、ウイルスに感染する可能性があります。

ネットワークのリスクに有効なセキュリティ対策

ネットワークのリスクに有効なセキュリティ対策

デバイスの異常検知

セキュリティリスクを最小限に抑えるためには、クローズドなネットワークを構築するとともに、エンドポイントの管理が重要です。たとえばEDR（Endpoint Detection and Response）を導入することで、PCやスマートフォン、タブレットといったデバイスを一元で管理できます。それにより、組織内のエンドポイントをリアルタイムに監視できるため、サイバー攻撃の兆候を検知したり、ログの追跡でマルウェアの感染経路を特定したりできます。

異常検知時の自動遮断

セキュリティ対策ではサイバー攻撃を未然に防ぐだけでなく、インシデント発生時の迅速な対応と適切な処置が求められます。そこで重要な役割を担うソリューションがNDR（Network Detection and Response）です。NDRはネットワーク全体を包括的に監視し、脅威を自動検知するとともに不審な動きを見つけ次第ネットワークから遮断します。機械学習アルゴリズムが影響範囲を特定して必要な情報を即座に提供するため、インシデント発生時の被害を最小限に抑えられます。

「docomo business RINK」なら閉域網とオープン網を柔軟に組み合わせ可能

「docomo business RINK」は、ネットワーク機能とクラウド型セキュリティサービスを一体型で提供するサービスです。従来は閉域網とオープン網のどちらかを選択するか、都度SIにて繋げていたサービスが主流でしたが、「docomo business RINK」ではオープンなインターネット接続と閉域網を組み合わせて簡単に併用できます。専門知識不要で導入できるため、導入までの期間を短縮できる、社内の人的リソースの削減につながるといったメリットがあります。

現代はデジタル技術の進展とともにサイバー攻撃の手口が多様化しており、セキュリティリスクの拡大という課題を抱えている企業が少なくありません。一方で、ネットワークの設計や構築やセキュリティ対策を担当する情報システム部門の人手が不足している、社内に専門がいないといった理由で、対応が後手に回ってしまう企業も少なくありません。この点、「docomo business RINK」は専門知識のない方でも閉域網やオープンなインターネットを自由に組み合わせて利用できるため、社内外を問わずセキュアな通信や情報共有を実現できます。

セキュアな通信環境の実現とコストの最適化を求める方は、クラウド型セキュリティとネットワークを合わせて提供する「docomo business RINK」の導入をご検討ください。