脅威は目の前に！次世代ファイアウォールはなぜ必要か？

2010年10月20日 09時00分更新

文● 大谷イビサ／TECH.ASCII.jp　記事協力●マカフィー

今、インターネットのセキュリティが危ない！

　以前、インターネットではアプリケーションごとに異なるプロトコルが用いられていた。WebはHTTP、メールはSMTP/POP3/IMAP4、ファイル転送はFTPなど。そのため、ファイアウォールは、そのアプリケーションが利用するポートを遮断すれば、アプリケーションの利用を制御できた。

　しかし、現在インターネットのトラフィックのほとんどはHTTPに集中している。Web 2.0と呼ばれる動的でインタラクティブなWebサイトも、動画配信も、メールも、SNSも、用いられているプロトコルはみんなHTTPだ。こうなると HTTPが使う80番ポートを遮断するわけにはいかない。そして、IPアドレスやポート単位でパケットを制御する既存のファイアウォールでは、原理的に同一のポートを通過する異なるアプリケーションを識別できない（図3）。Twitterも、ミクシーも、ニコニコ動画も、Amazonでのショッピングもファイアウォールには同じ通信にしか見えないのだ。また、ポート80番を使用するP2P等も識別できない。もちろん、トラフィックを可視化することもできないので、アプリケーションの利用状況を把握することも難しい。

図3　HTTPへのアプリケーションの集中化

　こうしたHTTPへのアプリケーション集中化の流れを受け、インターネット上での攻撃の多くもHTTPを用いるようになっている。特にマルウェアやボットネットを組み合わせた攻撃も増えている。ここに来て、古典的なファイアウォールは、完全にその機能を骨抜きにされてしまったのだ。

　これに対して、ブロードバンドの普及が進んだ2003年頃に登場したのが、ファイアウォールやVPNのほか、アンチウイルス、アンチスパム、 IPS、Webフィルタリングなど複数のセキュリティ機能を単一のハードウェアにまとめて搭載したUTM（Unified Threat Management）である。UTMでは複数の脅威に一台のアプライアンスで対応できるほか、単一筐体にまとめることで管理は容易になり、さらにライセンスの追加で機能強化できるといったメリットがある。個々の機能は限定的だが、コストパフォーマンスの高さもあいまって、UTMはSOHOや中堅中小企業で市民権を得ている。

　その一方、エンタープライズ市場向けに最近登場してきたのが、UTMとは異なるコンセプトで作られた「次世代ファイアウォール」である。次世代ファイアウォールの定義はまだ定まっていないが、HTTPを用いる数多くのアプリケーションを識別・可視化し、アクセス制御できるという特徴を持つ。インターネット上のさまざまな通信動向をマカフィーのデータセンターで集約し分析結果をレピューテーションとして連携する。この機能により、単一製品で対応できないレベルでリアルタイム性の高い防御が可能なほか、ユーザーやコンテンツを条件としたポリシーを適用できる。

　こうしたアプリケーションの制御と可視化、実績を持つウイルス対策やIPSのほか、クラウドベースのセキュリティ情報収集ネットワークを活用したレピュテーションを取り込み、次世代ファイアウォールの名にふさわしい機能を持つのが、マカフィーの「McAfee Firewall Enterprise v8」である。

マカフィーの次世代ファイアウォール「McAfee Firewall Enterprise v8」

次世代ファイアウォール「McAfee Firewall Enterprise v8」の特徴

　McAfee Firewall Enterpriseの原型は、マカフィーが買収した旧セキュア・コンピューティングの「Sidewinder」で、実はすでに25年の歴史を持つ。 Sidewinderといえば、堅牢なセキュアOSをベースにした高いセキュリティで知られ、軍や政府機関、金融会社などミッションクリティカルな分野で幅広く導入されていることで知られている（図4）。日本でも1000台以上が導入されており、本当にセキュリティを重視する企業の定番ファイアウォールとなっている。セキュリティ専業ベンダーであるマカフィーが、このSidewinderを次世代ファイアウォールとして作り直したのが、McAfee Firewall Enterprise v8というわけだ。

図4　McAfee Firewall Enterprise v8までの長い実績と歴史

　McAfee Firewall Enterprise v8は、既存のファイアウォールやVPN、アンチウイルス、IPS、Webフィルタリングなど複数のセキュリティ機能に加え、アプリケーションの可視化とアクセス制御の機能が強化されている。現在、全部で約1100以上のアプリケーションを識別することが可能で、HTTPやSSLを用いる異なるアプリケーションも識別できるうえ、マカフィーがアプリケーションごとのセキュリティ上のリスクレベルも情報として提供するため、利用を許可／禁止する際の参考となる。

　アプリケーションよっては機能やツール単位で利用をオン／オフできるので、ユーザーIDと組み合わせてポリシーを作成可能。そのため、IT部門がユーザー部門でのアプリケーション利用を詳細にコントロールできる。特に重要となる可視化は、通信状況を視覚化する専用ツール「Firewall Enterprise Profiler」を導入することで、通信状態を直感的に捉えることが可能になり、運用上の負担を大きく軽減できる。

　また、GTI（Global Threat Intelligence）というレピュテーションサービスを製品に組み込んでいるのも、McAfee Firewall Enterprise v8の大きな特徴だ。レピュテーションとは評価や格付けを意味しており、GTIではIPアドレス、サイト（URL）、ファイルなどをスコア付けを行なう。この結果をユーザー側のアプライアンスなどにフィードバックすることで、リアルタイムの脅威に備えることができる。GTIはマカフィーの研究機関が運営しており、全世界に設置されたセンサーの情報を元に、日々最新の脅威を分析している。McAfee Firewall Enterprise v8では、GTIのIPアドレス、サイト（URL）のレピュテーションを活用している。

　さらに、地理的な条件をフィルタリングの条件として利用する「GeoLocation」という機能も導入されている。運用者はIPアドレスを意識することなく国別の通信制限が可能で、たとえば中国への送信を遮断するといった難しい条件のフィルタリングを容易に行なえる。

　次回は実際のMcAfee Firewall Enterprise v8はどのようなポリシーを設定し、どのようにアプリケーション可視化・制御するのかを見ていきたい。

■関連サイト