この数年あまり、企業にとってのセキュリティ脅威が大きく変化し、そして進化したことに伴い、これらに対する防御ソリューションも同様に変化・進化を遂げています。そのため、2005年より前に導入された従来型のファイアウォールは、現在の脅威への対抗手段としては不十分である場合が多く、比較的新しい脅威からはネットワークを保護できない可能性があります。
ファイアウォールが提供する機能
ファイアウォールは、プライベートなコンピュータ・ネットワーク内外からの不正アクセスを防止することを目的としたシステムです。多くの場合、インターネットに接続されたプライベート・ネットワーク(イントラネットと呼ばれることが多い)を、インターネット側からの不正アクセスから保護するために使用されます。ファイアウォールは、自身を経由するイントラネット宛てのメッセージ/イントラネットから送信されたメッセージをすべて検査し、指定のセキュリティ基準を満たしていないメッセージをブロックします。
ネットワーク中の機密情報を不正アクセスから保護し、ネットワーク外部の悪意あるユーザやインシデントからネットワークを保護するには、ファイアウォールが必要です。ファイアウォールが提供する最も重要な機能の1つとしては、正規のトラフィックと悪意のあるトラフィックを区別するアクセス制御機能が挙げられます。ファイアウォールにはいくつかのタイプがあり、主にどの要素に対して機能するかによって、レイヤ順に次のように分類することができます。
- パケット・レベル: トランスポート層でネットワーク・トラフィックを分析します。
- サーキット・レベル: パケットが接続パケットであるかデータ・パケットであるかをチェックします。
- アプリケーション・レベル: 接続を許可する前にアプリケーション・データを検証します。
- プロキシ・サーバ: ネットワークを出入りするすべてのメッセージを中継します。
この数年、脅威は急激な進化を遂げており、ファイアウォールもこれらの脅威に対抗できるように進化しています。現在でも、パケット・レベル専用のファイアウォールを入手することは可能ですが、企業で使用するのに適しているとは言えません。複合型の脅威からネットワークを保護するために最も効果的なのは、先ほど挙げたすべての特性を兼ね備えるファイアウォールです。
ファイアウォールが提供するその他の機能
ファイアウォールが提供するその他の機能としては、ゲートウェイでの防御、指定されたセキュリティ・ポリシーの実施、内部ネットワーク・アドレスの隠蔽と保護、脅威およびネットワーク・アクティビティのレポート、内部ネットワーク/インターネット/DMZ(内部ネットワークとインターネットの間の保護領域。Web サーバやメール・サーバが置かれることが多い)の隔離が挙げられます。
ファイアウォールが提供しない機能
ファイアウォールを使用したとしても、カバーできないネットワーク・リスクは数多く存在します。その最たるものがマルウェア(悪意あるソフトウェア)です。トロイの木馬、ウイルス、ワーム、スパイウェア/アドウェア、フィッシング/ファーミングを行う電子メールや Web ページなどがマルウェアに該当します。多くのマルウェアは、電子メールの添付ファイルやメール本文に記述されたリンクを媒介して PC に侵入します。
トロイの木馬やウイルス、ワームは、ユーザを不快にしたり困らせたりといったレベルの行為から、企業活動に深刻な影響を及ぼすより悪質な行為に至るまで、さまざまな活動を行います。スパイウェアとアドウェアはユーザ情報を収集します。例えば、ユーザのキー入力内容を記録したりするため、キーボードから入力したあらゆる情報が漏洩するなどの極めて深刻な被害が生じる可能性があります。
スパムと呼ばれ、社会問題となっている迷惑メールも、従来型のファイアウォールでは対処できない脅威です。スパムはユーザの生産性を大幅に低下させる可能性があるだけでなく、ウイルスが添付されていたりフィッシングを目的としたりしていることがあるため、直接的なセキュリティ脅威となる場合があります。
フィッシング、ボットネット、DDoS
フィッシング・スパムは、実際に口座が作られている金融機関など、信頼できる組織からのメールを装った本物そっくりの詐欺メールを用いて、銀行サイトのパスワードやクレジット・カード番号といった機密情報を盗み出そうとします。同様の詐欺行為であるファーミングは、ユーザが普段利用している銀行サイトなどに見せかけた偽の
Web サイトを用意して、ユーザにアカウント名とパスワードを入力させ、それらを盗み取るという手法です。
また多くのユーザが気付いていないのが、Web サイトを閲覧しただけで感染する可能性があるマルウェアです。この種のWebサイトは現在急増しており、このような形で配布されているマルウェアの中には、ボットネットの構築に利用されているものもあります。このような脅威への対策としては、Finjan などが提供する、接続先の Web サイトにマルウェアが存在していないかどうかを事前にチェックする機能を備えたセキュリティ・アプリケーションを使用するという方法があります。
さらなるネットワーク・リスクとして挙げられるのが、分散サービス妨害(DDoS)攻撃です。これは、処理しきれないほどの電子メールをサーバに送り付け、そのサーバを使用できないようにするという攻撃です。多くの場合、これらの攻撃は、スパムの大量送信にも使用される感染 PC のネットワーク(ボットネット)によって実行されます。この種の脅威に対しては、DDoS 対策ソフトウェアや DDoS 対策アプライアンスを使用するのが有効です。
より強固な認証手法
権限のないユーザによる不正アクセスも重大な脅威です。一般に、ローカル LAN アクセスであるか無線リモート・アクセスであるかを問わず、ネットワーク・アクセスの認証にパスワードしか使用しないのでは、セキュリティは十分とは言えません。認証時のセキュリティを強化するには、適切な認証手法を導入する必要があります。強力な認証にトークンを組み合わせると、セキュリティはより強固になります。
また、ノート PC の盗難や紛失などに起因するデータ漏洩問題にも注意が必要です。この問題に対処するには、すべての機密データを暗号化します。さらに、無線ネットワークを利用する際には、無線に対応した VPN/ファイアウォール製品を使用する必要があります。従来型のファイアウォールでは、もはや企業ネットワークを適切に保護することはできません。これまで説明してきたような脅威に対処できるファイアウォール以外のソリューションと、適切なスタッフ・トレーニングが必要となります。
UTM で主要な脅威に対処する
従来型のファイアウォールではカバーできないこれらの主要な脅威に対処するには、統合脅威管理(UTM)製品を使用するのが効果的です。UTM
とは、ファイアウォール、VPN、アンチウイルス、侵入検知/侵入防御(IDS/IPS)をはじめとする複数のセキュリティ機能を備えたソリューション/デバイスのことを言います。また一部の
UTM(スーパー UTM などとも呼ばれる)は、これに加えて Web フィルタリング(問題のある
Web サイトを遮断する機能)、スパム・ブロック、アンチスパイウェアといった機能も備えています。
UTM は通常、複数のセキュリティ・コンポーネントを個別に購入して導入するよりも低コストで済みます。また、複数台のソリューションを1台に集約できるため、多くの場合消費電力が大幅に少なくて済むというグリーン効果も得られます。UTM
やスーパー UTM を購入する場合には、現在のスループット要件や将来の事業規模拡大に対応できるだけのパフォーマンス性能を備えた製品を選ぶことが重要です。
チェック・ポイントは、各種の
UTM 製品を提供しています。
原典: What Firewalls Do and What Firewalls Don't Do, Ian Kilpatrick, Wick Hill Group, Woking, Surrey, United Kingdom, March 26, 2008