[フレーム]
はてなブックマークアプリ

サクサク読めて、
アプリ限定の機能も多数!

アプリで開く

気に入った記事をブックマーク

  • 気に入った記事を保存できます
    保存した記事の一覧は、はてなブックマークで確認・編集ができます
  • 記事を読んだ感想やメモを書き残せます
  • 非公開でブックマークすることもできます
適切な情報に変更

エントリーの編集

loading...

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

タイトルガイドライン

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます
コメントを非表示にできます コメント表示の設定

ブックマークしました

ここにツイート内容が記載されます https://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

445users がブックマーク コメント 65

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

NIC二枚挿しによるネットワーク分割はなぜ危ないのか:NIST SP800-82より考察

445 users jpn.nec.com

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

はてなブックマーク

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページ

記事へのコメント65

  • 注目コメント
  • 新着コメント
Hiro0138
<ボソッ>一枚でも複数ネットワーク設定できるけどね</ボソッ>

その他
kuzumimizuku
最近はさすがに......と思ったけど、今こういう記事が書かれるということはまだまだ2枚刺しでネットワーク分割を行う管理者がいるということなのか(知らないのか、予算/環境的にこれしかできないのかはわからないけど)

その他
t_motooka
この構成で運用してるのを見たことはあるけども自分で組んだことは無いな。何より、設定が複雑になることで間違えて抜け穴を作っちゃいそうだから、自分ではやりたくない。

その他
honma200
官公庁やら別会社の窓口用ネットワークに繋ぐための構成の話かなぁと。あと、踏み台サーバーみたいなやつとかかね

その他
kagehiens
自宅でこれやるのが仲間内での一種のステータスだった時が......。

その他
meganeya3
そんな雑なゲートウエイに許可が出るほうがおかしい

その他
sin20xx
自治体の話だと文化的に昔は行政系ネットワーク(業務系/富士通強い)と消防系ネットワーク(災害対策本部等/NECやNTT系強い)のような複数の独立したネットワークがあり、LGWANの普及でこの辺りが再編されてるのかも

その他
ssids
タイトルがいまひとつかな?「NIC二枚差し『による』ネットワーク分割」ではなく、「安直なサーバのマルチホーム」が危ない、というのがこのNIST文書の心だと思う / そもそも FW とかほぼ PC だったりするわけで

その他
pascal256
ITとOTのGWを雑に作るなと言う話か。それはそう。FWとか踏み台サーバは気を付けないと。NIC2枚刺しなので各サーバに業務LANと管理LAN設定みたいな話かと思って混乱したw

その他
sabacurry
OT扱う業界だと一般的な構成だけど、あまり危機感を持ってもらえない。こうやってまとめてもらえると助かる。

その他
hdkINO33
原典の5.5節の「データヒストリアンにNICを2枚挿しして企業・制御NWを跨らせるのはやめとけ」という話っぽい https://www.jpcert.or.jp/research/2016/NISTSP800-82r2_20160314.pdf / まあちょっと頑張って5.5.4くらいにはしておきたい

その他
sora_h
わかる。

その他
dorje2009
NIC二枚刺しが全部ダメと言ってるわけじゃなく、セキュリティ境界を目的とするならダメって話では。

その他
toshi_itoujp
"ブログ "

その他
yyamano
"業務経験の浅い人であれば、構成図を鵜呑みにしてNIC二枚挿しの方法でネットワークを構築する可能性もあり、注意が必要です。"

その他
rryu
分割というより繋げているからファイアウォール的な機能を自前で構築しないとただ繋がっただけになってしまうという。

その他
atahara
まあ、そうだろうなあ。/陽一氏ではなくお若い方だった。

その他
rawwell
"企業ネットワーク側のサーバやPCに格納されているファイルを制御ネットワーク側のサーバやPCへ、あるいはその逆を容易に行うことができ、それぞれのネットワークに格納されているファイルが混在する可能性"

その他
alovesun
これなぁ、やる奴いるんだよな......(状況はそれぞれにあるやろうけど、褒められたもんではない)

その他
UDONCHAN
ソフト的な脆弱性なんだナー

その他
hiby
何言ってんのか一瞬理解しがたかったけどFWないのか。そらあかんわ。

その他
ys0000
制御NWと呼ばれる環境がどれほどのセキュア要件を求められているかにもよるのかな。VMでPrivateNW作った場合も該当図の制御NWに該当するし。DMZとの分離だったら勿論FW使うだろうし、程度問題な気がする。

その他
sonots
自作PCでやったな

その他
ssids
ssids タイトルがいまひとつかな?「NIC二枚差し『による』ネットワーク分割」ではなく、「安直なサーバのマルチホーム」が危ない、というのがこのNIST文書の心だと思う / そもそも FW とかほぼ PC だったりするわけで

2021年06月21日 リンク

その他
agricola
その「ファイアウォール」ってのもコントローラ2つでネットワーク分割してるよね?下手すると中身はLinuxだし?と思っちゃうんだけどな。あとHPCでは管理とMPIとストレージでトラフィック分離させるとかザラです。

その他
tofu-kun
中学生の時に自作ルータ作るために2枚挿しした思い出が蘇った。

その他
louise_kunka
最近だとオンライン資格確認案件の端末要件にNIC複数の指定があってオロロロロロってなった。https://www.mhlw.go.jp/content/10200000/000623527.pdf

その他
toubanjanny
社内検証環境とつなぐ踏み台とかによくやるけど、商用ではまぁやめたほうがいいよね。

その他
haruyato
最新のオンライン資格確認はNIC2枚差しが一般構成だよー。1枚で構成したら怒られたよー。

その他
ene0kcal
12は直接的な危険性の指摘ではなくて分類や整理性のことで、3が直接の危険性(セキュリティ)の指摘。

その他
memoryalpha
"企業側のネットワークで発生したマルウェア感染などのセキュリティインシデントが制御側に広まった場合に制御機器を通して現実空間に被害が及ぶ"

その他
NOV1975
この手のはどっちの口もガチガチに固めてやるやつ以外は見たことなかったけど一般的にこういうふうにやられることあるのね...ルータに刺してるのと変わらんのでは

その他
Gim
答え:Windowsのルーティング実装が糞だから。じゃないの?特にコンピュータ名=ホスト名にしている場合がやばいので、外部向けサービスのホスト名はコンピュータ名とは違う名称にするのが基本だよね?

その他
ysync
なんか、なぜというか、雑になりがちだからよせとしか。インフラ周りに複数ベンダ入れるなと同程度の話?

その他
quabbin
まだちょくちょく残っているんだよなぁ。帯域確保以外の目的では意味ないのだけど、NIC多数をベースにアプリ設計されていて分離できず、全部作り直し以外の選択肢がない場合がある。変なところに依存しないで欲しい

その他
tomoyarn
トップブコメが謎すぎる・・・。ゲートウェイの話なんかしていないよね。ネットワーク分割とゲートウェイは別々に考えるのが基本なんだが。

その他
tamasuji
なんでこんな記事がホットエントリに。

その他
geonoize
IPAの試験でよく見るやつだ。

その他
tonocchokun
そういうコンピュータって社内政治における敗北の痕跡だったりすんだろうな

その他
b-wind
うーん。

その他

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー
アプリのスクリーンショット
いまの話題をアプリでチェック!
  • バナー広告なし
  • ミュート機能あり
  • ダークモード搭載
アプリをダウンロード

関連記事

usersに達しました!

さんが1番目にブックマークした記事「NIC二枚挿しによる...」が注目されています。

気持ちをシェアしよう

ツイートする

NIC二枚挿しによるネットワーク分割はなぜ危ないのか:NIST SP800-82より考察

NECサイバーセキュリティ戦略セキュリティ 技術センターの日下部です。 エンジニアの方にとって、シ... NECサイバーセキュリティ戦略セキュリティ 技術センターの日下部です。 エンジニアの方にとって、システムのネットワーク構成を設計する機会は多々あるかと思います。 ネットワーク構成を検討する際、機器の役割や設置場所によって異なるネットワークアドレスを付与するネットワーク分割を実施することになります。ネットワーク分割の方法はファイアウォールやルータといった装置での分割の他に、サーバやPCに二枚のNIC(Network Interface Card)を使用してネットワークを分割するいわゆる"NIC二枚挿し"という方法もあります。しかし、この方法はセキュリティ上推奨しないという考え方があります。 記事では、セキュアな産業制御システム(ICS : Industrial Control System)を構築するためのガイドであるNIST SP800-82を参考にNIC二枚挿しによるネットワーク分割

ブックマークしたユーザー

  • nwcft2024年01月27日 nwcft
  • totttte2022年04月03日 totttte
  • tar0_t2021年08月19日 tar0_t
  • koyacorg2021年07月20日 koyacorg
  • mjtai2021年07月12日 mjtai
  • N_T2021年07月05日 N_T
  • nadaredana2021年06月28日 nadaredana
  • tk41682021年06月26日 tk4168
  • hdkINO332021年06月25日 hdkINO33
  • karia2021年06月23日 karia
  • mkna2021年06月23日 mkna
  • l-_-ll2021年06月23日 l-_-ll
  • carme-264pp2021年06月22日 carme-264pp
  • hroka2021年06月22日 hroka
  • sora_h2021年06月22日 sora_h
  • o-miya2021年06月22日 o-miya
  • hitsujibane2021年06月22日 hitsujibane
  • narukami2021年06月21日 narukami
すべてのユーザーの
詳細を表示します

ブックマークしたすべてのユーザー

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

同時期にブックマークされた記事

いま人気の記事 - 企業メディア

企業メディアをもっと読む

はてなブックマーク

公式Twitter

はてなのサービス

Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しましたx

AltStyle によって変換されたページ (->オリジナル) /