このページの本文へ

前へ 1 2 次へ

ファイアウォールを再定義する「McAfee Firewall Enterprise v8」第1回

アプリケーション可視化と制御が重要視される理由を解説

脅威は目の前に!次世代ファイアウォールはなぜ必要か?

2010年10月20日 09時00分更新

文● 大谷イビサ/TECH.ASCII.jp 記事協力●マカフィー

  • この記事をはてなブックマークに追加
  • 本文印刷

昨今Web 2.0などWebの新しいサービスがユーザーに浸透し、企業におけるビジネス活用が活発になってきたことで、アプリケーションの可視化・制御ができる次世代ファイアウォールへの移行が叫ばれている。ここでは既存のファイアウォールの仕組みとその限界について解説し、なぜ次世代ファイアウォールが必要なのかを明らかにしていきたい。

ファイアウォールはなにを守ってきたのか?

 企業でインターネットを導入する際には、ファイアウォールは必須。これはすでに常識といえる。インターネットでは、サイトを攻撃してOSやソフトウェアを破壊したり、公開サーバーの管理者アカウントを剥奪したり、サイトの内容を無断で書き換えたり、サイトの背後にあるデータベースから情報を不正に取得しようという悪意のクラッカーが数多く跋扈している。インターネットの黎明期は、こうしたクラッカーたちが自らのスキルを誇示するために、あるいは政治的な意図を持って、多くの攻撃を行なった。こうした攻撃を防ぐために導入されたのが、ファイアウォールである。

 ファイアウォールの大きな目的は、保護すべきLANと公開サーバーを設置するDMZ(De-Militalized Zone:非武装地帯)、そしてWAN・インターネットの各セグメントを境界で区切り、それらのセグメント間の通信をアクセス制御することである。アクセス制御というとわかりにくいが、簡単にいえばリスクを考慮して通過してよい通信を通過させ、不要な通信を遮断することだ。つまり、LANからWAN・インターネットへ送信される通信を通過させ、外部からLANやDMZに対する不正な通信をブロックするというアクセス制御を行なうのが、ファイアウォールの役割といえる(図1)

図1 古典的なファイアウォールの機能と役割

 もっともベーシックなパケットフィルタリング型のファイアウォールでは、このアクセス制御をパケット単位で行なう。パケットのヘッダに書かれた宛先や送信元アドレス、利用するポートなどを元にフィルタリングルールと呼ばれる条件を設定しておくと、通信経路に位置するファイアウォールがパケットの通過や遮断などを行なうというわけだ。さらにこのパケットフィルタリングを拡張し、パケットのやりとりを認識し、通信を識別した上で、パケット通過の可否を決定する「ステートフルパケットインスペクション」という技術も編み出された。

 これらのアクセス制御技術を実装したファイアウォールは、長らく企業のLANや公開サーバーを不正アクセスから守ってきた。しかし、21世紀に入り、ブロードバンドが普及し、インターネットのビジネス利用が本格化するようになると、攻撃は大規模化、巧妙化した。ファイアウォールが設置されていることは前提で、ファイアウォールを容易に通過する手法が一般的になっった。

 ファイアウォールでインターネットの攻撃が防げなくなった理由は簡単だ。パケットやポートレベルのアクセス制御により許可された通信で、攻撃が行なわれるようになったため、識別できなくなったのである。

 たとえば、LAN内のPCがウイルスに感染したり、Webブラウザ経由で不正プログラムが実行され、外部から不正なプログラムを取得するような場合、ファイアウォールではこうした通信を攻撃だと認識できない。その他、大量にパケットを送りつけてサーバーなどのリソースを消費させるDoS攻撃や、 WebアプリケーションやOSの脆弱性を狙って、特定のリクエストを送りつけるような攻撃もファイアウォールの対応範囲は限られる。そして、従来のファイアウォールが現在の環境に対応できない状態になっている根本的な課題は、同じプロトコルを用いる異なるアプリケーションを識別できないことだ。そのためにリスクに応じて通信の許可/不許可ができなかった(図2)

図2 古典的なファイアウォールが攻撃を遮断できない理由

 その一方、脅威が進化している間もセキュリティ機能の強化が行なわれないままになっていたという現状もある。これまでのセキュリティ強化は、他のセキュリティ機器で行なっていたウイルス対策やIPSを単純に追加しただけにとどまってきた。

(次ページ、今、インターネットのセキュリティが危ない!)


 

前へ 1 2 次へ

この特集の記事
ピックアップ