このページの本文へ

初心者歓迎!ネットワークセキュリティ入門 第10回

ネットワークの脅威と対策を一から学ぼう

社内の安全を守るセキュリティ製品の進化を知ろう

2009年10月21日 06時00分更新

文● 伊藤 玄蕃

  • この記事をはてなブックマークに追加
  • 本文印刷

ゲートウェイセキュリティとは?

 現在、ゲートウェイ製品には、ファイアウォール、VPN、IDS・IPS、ウイルス対策、Webコンテンツフィルタ、スパムメール対策などのセキュリティ機能を1台で提供する、「オールインワン」型の製品であるUTM(Unified Threat Management:統合脅威対策)と、特定のセキュリティ機能だけに特化した単機能製品とがある。

 歴史的には、最初にパソコンやUNIXサーバをゲートウェイ化するソフトウェアベースの単機能製品が登場し、次いでハードウェアベースの単機能製品が台頭し、UTM製品が最後に登場した(図2)。

図2 ゲートウェイセキュリティの進化

 ここでは、そのジャンルの最初の製品が登場した順に、現行製品を紹介していこう。

ソフトウェアのファイアウォール

 このジャンルの製品の代表格は、チェック・ポイント・ソフトウェア・テクノロジーズ(以下チェック・ポイント)の「FireWall-1」だ。FireWall-1は、ファイアウォール技術の業界標準となったステートフルインスペクション※3などの概念をいち早く導入し、長年に渡りこのジャンルでは最大のシェアを誇っている。

※3 ステートフルインスペクション: ファイアウォールを通過するパケットが、直前のパケットと整合性が取れているかどうかまで判断してパケットの通過を許可/禁止する機能を指す。たとえば、パケットの一連番号の大小や、「要求(Request)」-「応答(Ack)」の遷移をチェックする。

 FireWall-1の一人勝ち状態が続いたため他の商用製品の姿が消え、現時点で入手可能なソフトウェアベースのファイアウォール製品は、ほとんどがフリーソフトになってしまった。よく使われるソフトは、IP FilterとNetfilter(iptables)の2つである。NetfilterはLinuxでの利用が前提となっているのに対し、IP FilterはUNIX系のOSに幅広く対応している。

アプライアンス型

 ソフトウェア型ファイアウォールは、ベースとなるPC向けOSの脆弱性と、汎用CPUでのソフトウェア処理では避けられないパフォーマンスの低さが弱点であった。そのため、2000年以降のブロードバンド化が進むにつれ、弱点が目立つようになった。そこに登場したのが、パケットフィルタリングやVPNの暗号化など負荷の重い処理を専用プロセッサで高速化した「セキュリティアプライアンス」だ。アプライアンス(Appliance)とは、ソフトウェアとハードウェアとが一体化した製品で、ユーザーがOSやファイアウォールなどをインストールする必要がなく、購入して電源を入れればすぐに動き出す専用装置を意味する。このジャンルの製品は、ちょうどインターネットを経由するIPsec VPNの普及と同時期に登場したため、IPsec VPNの機能も標準で搭載していた。そこで「ファイアウォール・VPNアプライアンス」とも呼ばれる。

 このジャンルの代表格は、ジュニパーネットワークスの「NetScreenシリーズ」だ。また、ルータから機能拡張された製品であるが、ヤマハの「SRT100」もこのジャンルに位置している。

上位レイヤのセキュリティ対策

 インターネットが普及し社会生活に不可欠なものになるにつれ、インターネットにも社会の暗黒面が反映され、犯罪行為や不法行為が増大している。技術を誇示するための腕試し的な悪戯や愉快犯が姿を消し、プロの犯罪者が横行するようになってきた。大規模な不特定多数を狙った攻撃から、小規模ながら巧妙な攻撃が増えている。その結果、攻撃の手口はますます多様化し、会社が対応しなければならない脅威は次々と増えている

 その点、ファイアウォールは、ネットワークレベルでパケットを精査する※4機器であるため、アプリケーションレベルでの攻撃、すなわちウイルスやスパイウェアを防ぐことはできない。そのため、ウイルス対策やスパイウェア対策の機能をもつゲートウェイ製品が登場した。同様に、プログラムやOSの不備を突くような攻撃に対処するためにIDS(Intrusion Detection System:侵入検知システム)やIPS(Intrusion Prevention System:侵入防止システム)が、スパムメールを除去するためにスパム対策製品が登場した。

※4 ネットワークレベルで: 標準的なファイアウォールは、パケットのTCPヘッダまたはIPヘッダに含まれる項目をチェックする。すなわち、OSIの7階層モデルの「ネットワーク層」での制御だ。一方、ウイルスやスパイウェアのチェックは、OSIの7階層モデルの「アプリケーション層」での対応となる。

複数の脅威に対応するUTM

 これまでのように、特定の脅威に対応した単機能のゲートウェイ製品を続々と導入していくと、機器の種類や台数が増え、管理工数が膨大になっていく。そこで、脅威に一括して対処するため、従来のファイアウォール・VPNアプライアンスに上位レイヤのセキュリティ機能を載せ、オールインワン化を図ったUTMが登場した。ファイアウォールやIDSなどの専用機が「特定商品だけを扱う専門店」なら、UTMは「さまざまな商品が揃ったデパート・ショッピングセンター」といえるだろう。

 多くのUTMは、ファイアウォールとVPNが標準機能で、それ以外の機能はオプションとなっている。また、装置の購入後に、必要な機能を追加で購入することもできる。この場合も管理画面からライセンスコードを入力して、追加購入した機能をオンにするだけ、という製品がほとんどだ。

(次ページ、「ウイルス対策とファイアウォール」に続く)


 

カテゴリートップへ

この連載の記事
  • 角川アスキー総合研究所
  • アスキーカード