今までネットワークセキュリティの要として働いてきたファイアウォールに対して「なんの役割も果たしていない」と語るのは新興セキュリティベンダーのパロアルト・ネットワークスCTOであるニル・ズーク氏。Security Solution 2009の講演のために来日した同氏に、発言の意図するところと、同社の製品について聞いてみた。
ファイアウォールは
なぜ役割を果たせなくなったのか?
パロアルト・ネットワークス(以下、パロアルト)は、「次世代ファイアウォール」を謳う新型セキュリティアプライアンス「PAシリーズ」を展開するベンダー。同社のCTOのニル・ズーク氏はこのパロアルトの創業者で、もともとチェック・ポイント、そしてネットスクリーン/ジュニパーというベンダーで製品の開発に携わった経歴を持っている。つまり、パロアルトのPAシリーズは同氏にとって「3つめのファイアウォール」というわけだ。
米パロアルト・ネットワークスCTOのニル・ズーク氏。長年セキュリティ機器の開発に携わってきただけに、発言には重みがある
そんなズーク氏がSecurity Solutionの講演で語ったのが、既存のファイアウォールの限界である。「ファイアウォールの役割は『ネットワークアクセスをコントロールすること』、そして『アクセスログをとること』です。しかし、この機能をファイアウォールは実現できなくなっています。今やファイアウォールは、なんの役割も果たしていないのです」とズーク氏は語る。そして、ファイアウォールが役に立たなくなった理由を、ズーク氏は「企業内にあるサーバのうち90パーセントは、エンドユーザーのデスクトップにあるから」と説明する。ここでいう「サーバ」とはわれわれがイメージするサーバ機ではなく、外からのアクセスを待ち受けるP2Pやサーバアプリケーションを指す。デスクトップに数多くのサーバがあるとなると、LAN内のクライアントを守るという目的を持った既存のファイアウォールでは防げない。まして、社内にいるのは管理者に従順な従業員だけではなく、すきあらばファイアウォールをくぐり抜けようと考える暴れん坊なユーザーもいる。
さらに、こうしたアプリケーションは通常空いている80番ポートを利用する。また、ファイアウォールを簡単に通り抜けてしまうプロキシも簡単に入手できる。「我々の調査では、今やHTTPは企業ネットワークの64%を占有し、そのうちWebブラウジングは23%に過ぎません」(ズーク氏)というのが現状だ。つまり、HTTPが万能プロトコルになってしまったことで、Web以外のさまざまなアプリケーションがはびこる原因となってしまったわけだ。これではIPアドレスとポートをベースにフィルタリングをかけるファイアウォールが役に立たないといわれても仕方ないだろう。
HTTPはすでに全体の64%を占め、その大部分はWeb以外のクライアント/サーバアプリケーションで使われている
もちろん、こうした状況は今に始まったことではなく、IPSやプロキシ、UTMなど、ファイアウォール以外でアクセスを制御するアプローチがいくつも用意されている。しかし、「IPSは攻撃を遮断するために作られたもので確かに多くの場合で有効です。とはいえ、よいトラフィックのみを許可したり、アプリケーションの特定機能やユーザーまでは識別できません。また、プロキシは処理が重く、ギガビット環境には対応できません。アプリケーションごとに対応する必要があるほか、そもそも簡単にバイパスできてしまいます」(ズーク氏)といった弱点がある。そして、PAシリーズが同じジャンルと語られることも多いUTMに関しても、ズーク氏は「ファイアウォールの問題をそのまま引き継いでいますし、複数のエンジンを数珠つなぎにしているので、機能をフル活用するとパフォーマンスは落ちてきます」と否定的な見解をとっている。
(次ページ、可視化とアプリケーション制御でエンタープライズ市場を狙う)
