次世代ファイアウォールはどのようにマルウェアを撃破する？

2012年06月21日 06時00分更新

文● アスキードットPC編集部

次世代ファイアウォールはモダンマルウェアとの闘いにとって、もっとも重要な武器である。本章では次世代ファイアウォールを使って、マルウェアによる被害を食い止める方法論を紹介する。

次世代ファイアウォールの紹介

　ネットワーク上のすべてのトラフィックを、すべてのネットワーク階層のレベルで理解すれば、企業のネットワーク内で許される振る舞いを精密に制御し、ボットネットが隠れる陰の部分を排除できる。ボットは手ごわい相手だが、機能するためには通信が必要になる。このような頻繁な通信を見つけることは、ボットネットとそれがもたらす脅威をコントロールするのに重要な要素である。

　次世代のファイアウォールは、トラフィックの分類を、単純にポートやプロトコルをベースに行うのではなく、通信中のアプリケーションプロセスの解析、暗号化されたデータの復号、デコード、発見的手法（挙動の検知）などを使って行う。これらの機能はトラフィックのストリームのレイヤを1枚ずつ剥がしていって、その本性を確認する（図1）。

　このように未知のトラフィックでもピンポイントでポートや暗号化にかかわらず解析できることは、真の次世代ファイアウォールを定義づける特徴の1つで、ボットネットと闘うのにあたって貴重な存在である。

　さらに、次世代ファイアウォールは脅威を防止するのに、統一したコンテキストによる、すべてを統合したアプローチを提供し、複数のセキュリティ基準を調和させる（たとえば、アプリケーションの識別、マルウェアの検出、侵入の防止、URLフィルタリング、ファイルタイプの制御、コンテンツの検査など）。

図1　次世代ファイアウォールにおけるトラフィックのクラス分け

　これは、単にこれらの機能を持つセキュリティソフトを寄せ集めただけのものではない点に注意してほしい。最初から統合されているからこそ、従来の個別の技術に比べ、マルウェアに対してはるかにインテリジェントで完全な理解を提供できる。これは、未知の脅威の兆候である不審な挙動を発見するのに必ず求められる機能である。

次世代ファイアウォールによる感染の防止

　企業がモダンマルウェアをコントロールする際にもっとも留意したいステップは、攻撃の経路を減らすことと、ボットのネットワークに隠れる機能を排除することだ。

　現在、ボットネットが使用している経路の大半は、事実上チェックされていない。また、ボットネットのトラフィックは一般に非常に小さいので、通常の通信に紛れてしまう。ネットワークを完全に可視化し、ネットワーク上でどのようなトラフィックが許されているのか、それはなぜかを知ることで、セキュリティチームはこの2つの課題を解決できる。

攻撃対象を減らす

　ポジティブコントロールを強制的に行うのは、マルウェアとの闘いに必須である。ポジティブコントロールは、攻撃対象を大幅に減らし、リスク全体を軽減する。このため、企業が最初に踏み出すべき重要な第一歩は、ポジティブコントロールモデルに戻ることだ。ポジティブコントロールとは、あなたが望まないトラフィックをブロックするという発想ではなく、あなたが望む特定のアプリケーションとトラフィックのみを許可するという立場で取り組むことだ。

　ポジティブコントロールは、ネットワークファイアウォールをその他のネットワークセキュリティデバイスと区別する特徴とされてきた。

　たとえば、Telnetを許可しようとする場合であれば、ファイアウォールでTCPの23番ポートを通過できるよう許可することになる。残念ながら、伝統的なファイアウォールは同じ23番ポートを使う他のアプリケーションやプロトコルを区別することはできない。アプリケーションとマルウェアは、標準でないが、共通して開かれているポート（たとえばTCPポート80番、443番、53番）を使ったり、任意の開かれているポート間をホップして伝統的なファイアウォールを回避したりしている。

　ポジティブコントロールをすべてのアプリケーションとポートに関わりなく拡張することは、スイッチを切り替えるだけというような簡単なものではない。従業員は、仕事に関係ない特定のアプリケーションを使っているかもしれない。さらに、一部のアプリケーションは、個人と仕事の両方の目的で使っているかもしれない。たとえば、Facebookはソーシャルネットワーキングに使うことができるが、多くの企業でマーケティング、販売、人事部門などで重要なツールとして使われるようになっている。

　以上のように、組織のITセキュリティチームは、組織内の適切なグループや部署と相談して、どのアプリケーションをどのように使うことを許可するか、適切なポリシーを確立しなければならない。こうしたポリシーは、特定のユーザーが特定のアプリケーションにアクセスすることだけを許可し、あるいは特定のアプリケーションの特定の機能のみ許可するようにしなければならない。

　攻撃対象を減らすには、企業はすべてのネットワークトラフィックをポジティブコントロールして、不必要でリスクの高いトラフィックを防止すべきだ。これは、暗号化やポート回避テクニックを使ってトラフィックを隠そうとするアプリに対しても適用する。また企業は、ビジネス上の必要性と企業文化を基本に、アプリケーションとその使い方について許可するポリシーを確立しなければならない。これにあたっては、どのようなアプリケーションやプロトコルがネットワーク上で使われているか、どのようなアプリケーションが業務に使われるのか、そしてそれを必要としているのは誰か、公私両用あるいは私用のアプリケーションはどれを許可するかを検討する必要がある。

前へ 1 2 3 4 次へ

ツイートする

カテゴリートップへ