 |
|---|
「セキュリティ対策といえばファイアウォール」は、インターネットが企業システムに浸透するにつれすっかり常識化した。しかし、クラッキング技術がますます巧妙かつ複雑になった昨今では、管理者は「セキュアソリューション」というトータルな視点でネットワークを守らなければならない。ここでは、ファイアウォールの機能を強化するソリューションを紹介する。
ファイアウォールは万能ではない
ファイアウォールはあくまで予防的な役割を果たす「防火壁」である。壁の外からの攻撃を防御する上では有効だが、内部への侵入を許してしまえば何の役にも立たない。しかも、ファイアウォールは利用者の利便性とリソースの保護という、いわば二律背反の側面を両立させて運用されている。そこでセキュリティポリシーの存在が不可欠になる。いくら高価なファイアウォールを導入しても、セキュリティポリシーがなかったり正しく機能していなければ効果はほとんど期待できない。
また、どんなシステムにもバグや設定ミスが付きものである。いわゆるセキュリティホールだ。システムが複雑になるほど、その遭遇率も高くなる。たった1つのセキュリティホールでも、放っておけばファイアウォールは形骸化したのも同然である。
さらに、不正な操作の大部分は内部からのものであるというのは今や常識である。利用者が不注意からアカウントを盗まれることもあれば、クラッカーが企業に入り込み正規ユーザーとして悪事を働くことすらある。そうなれば外からの攻撃にいくら対策を施していても、まったく意味はない。管理者としては、ファイアウォールがあるからといって安心していられるわけではない。壁を越えた、あるいは壁の内側に潜む不正侵入に対しても常に危機感を持たねばならない。そして、万一のときは速やかに侵入者を排除し、システムの復旧に努めることが求められているのである。
以上のように、セキュリティ対策はファイアウォールによる不正侵入の防御だけでは不十分であり、不正侵入の検知やセキュリティホールの調査もその一環になる。前節のファイアウォール製品にはそのための機能が搭載されているものもあるが、ない場合は別途ツールによって補う必要がある。以下、こうしたツールを紹介する。
不正侵入に対する防衛
侵入検知システムは、一般にセグメント上のネットワークパケットを監視するネットワークベースと、サーバのログを監視するサーバベースに分類され、どちらにも一長一短がある。たとえば、前者は最近の高速ネットワーク環境には対応できないことも多く、後者はシステム自体を停止させるDoS攻撃などには無力である。いずれも不正な侵入を見つけた場合は、管理者にアラームを発し、トラフィックのブロックやシステムの復旧、バックトレース(侵入者の動きを記録する)を行なうのが一般的である。
クラッカーには、ある程度「手口」がある。彼らはまずターゲット(攻撃対象または踏み台)となるホスト情報やセキュリティの甘いサービスの有無を調べる。手あたりしだいにICMPのエコーを見る「ping sweep」などは、ホストの稼働を調べるための常道である。また、侵入に成功したあとはroot権限の乗っ取りや不当なアクセス、ログの消去などを試みるだろう。このような一連の手口(侵入の兆候)のことを「シグネチャ」という。侵入検知ツールの多くは、最新のシグネチャ情報をWebからダウンロードして対応するようになっている。
一方、監査ツールはシステムの脆弱点を調査してセキュリティポリシーとのギャップを分析し、よりセキュアなネットワーク環境を構築するものである。事前にセキュリティホールを検出しておけば、最新パッチを当てて対処したり、不用意なサービスを停止しておくことができる。ただし、クラッカーに先を越されないように運用しなければ意味がないのはいうまでもない。
本格導入が始まるコンテンツフィルタリング
就業時における従業員のポルノサイトなどの閲覧は企業にとっての脅威であり、セキュリティ対策とともに、管理者の頭を悩ませる問題だ。ただし、政府推進のミレニアムプロジェクト(2001年度末までに全国の公立学校でIP接続をする)によって、有害コンテンツを排除する動きが活発になりツールも充実してきた。企業としてもそれを使わない手はない。ファイアウォール関連ツールとして、最後にコンテンツフィルタツールについてもまとめておく。
企業におけるフィルタリングは、当然学校に要求されるものとは異なるが、一般にフィルタリングには細かな制御が可能である。コンテンツは、「レイティング」という基準から作成されたデータベース(ラベルビューロ)を参照してフィルタされ、実装技術はW3Cにより標準化されている(PICS)。フィルタツールの多くはクライアントとプロキシの間に位置して処理するため、接続には余計な負荷がかかるが、独自にプロキシ機能を備える製品もある。レイティング基準としてはRSACiが定めたものが有名であり、国内では「電子ネットワーク協議会」を中心に取り組みがさかん。
