不要な通信を制御!次世代ファイアウォール

この記事をtweetする このエントリーをはてなブックマークに追加

製品の基礎から選び方までをサポート! IT導入完全ガイド

不要な通信を制御!次世代ファイアウォール

2012/07/30


 昨今、Webブラウザで利用できるサービスが増加しており、多種多様なアプリケーションが氾濫しているのが現在のネットワーク環境である。その中には業務上必要なデータはもちろん、従業員の生産性を低下させるような不要なデータや企業のセキュリティを脅かすデータなども流通している。そうした状況の中、外部との境界を流れるデータをポートレベルで制御する従来型ファイアウォールではアプリケーションをターゲットにしたセキュリティ脅威には対応できなくなってきた。そこで、本稿ではこうした課題を見事に解決してくれる「次世代ファイアウォール」にスポットを当てて、アプリケーションの“識別”と“制御”の重要性から次世代ファイアウォールの有用性までを詳しく解説する。

ファイアウォール

※「ファイアウォール/不要な通信を制御!次世代ファイアウォール」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「ファイアウォール/不要な通信を制御!次世代ファイアウォール」の記事全文がお読みいただけます。

会員登録はこちら(無料)



1
1-1

次世代ファイアウォール登場の背景

■従来型ファイアウォールの限界

 次世代ファイアウォールの説明に入る前に、なぜ次世代ファイアウォールが登場したのか、その背景から説明しよう。既にご存じのように企業ネットワークは様々なセキュリティ脅威に晒されていることから、これまであらゆるセキュリティ対策が施されてきた。ファイアウォールもその1つである。ファイアウォールはインターネットなどの外部ネットワークとの境界に設置される関所的な存在であり、企業ネットワーク内のサーバやPCなどに外部からスパイ(セキュリティ脅威)が侵入しないよう、境界を通るトラフィックを厳しくチェックする役目を果たしている。
 現在多くの企業ネットワークに設置されている従来型ファイアウォールの大半はセッションログをチェックして怪しいトラフィックを見つけ出す「ステートフルパケットインスペクション型」のファイアウォールだ。これらのファイアウォールではトラフィックが使用するポートやプロトコルを評価することによって、外部からの攻撃や不正侵入をブロックしている。つまり、従来型ファイアウォールでは、あるポートを許可すると、そのポートを使用する全てのアプリケーションが通り抜け(使用)可能になる。例えば、Web閲覧を行うために“http”と“https”のポート80とポート443を許可すると、これと同じポートを使用する怪しいアプリケーションをブロックすることができなくなる。

■現在の企業ネットワークに対する脅威の実状

 現在、共通ポートあるいはhttp/httpsプロトコルを使った便利なアプリケーションがWeb 経由で次々と提供されている。その中には、動的なポート変更、SSLや SSH による暗号化、標準以外のポート使用などにより、従来型ファイアウォールを容易にすり抜けることができるアプリケーションも少なくない。
 当然ながら悪意を持った攻撃者たちがこの弱点を見逃すわけがなく、新しい攻撃ではこうした弱点が悪用されている。たとえば、アプリケーションをターゲットにしたり、アプリケーションを介してトンネリングしたり、攻撃を暗号化したりするようになってきたのだ。

図1 従来型ファイアウォールの実状
図1 従来型ファイアウォールの実状
アプリケーションは従来のポートベースのファイアウォールを容易にバイパスできるようになってきた。
資料提供:パロアルトネットワークス
■認可を受けていないアプリケーションの流入

 ここ数年の間に個人向けのアプリケーションが普及し、ビジネスアプリケーションとの区別が次第に困難になってきており、これらのアプリケーションを介して脅威が企業に簡単に侵入するようになってきた。例えば、インスタントメッセンジャー、P2PやWebベースでのファイル共有、Web メール、ソーシャルネットワーキング用アプリケーションなどがそれだ。
 たとえ組織のポリシーによってこれらのアプリケーションを禁止している場合でも、このようなアプリケーションが企業ネットワーク内にかなり高い比率で存在している。なぜなら、これらのアプリケーションの多くは従来型ファイアウォールを回避するように設計されているからである。従来型ファイアウォールでは、実質的にこれらのアプリケーションを判別できず、非生産的で潜在的な脅威を伴うトラフィックが企業ネットワークに入り込み始めている。その結果、本来優先されるべき安全な業務アプリケーションのネットワークリソースを確保できないという事態も起こるようになってきた。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ

ファイアウォール/不要な通信を制御!次世代ファイアウォール」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ファイアウォール」関連情報をランダムに表示しています。

ファイアウォール」関連の製品

時系列で追う 「インシデントレスポンス」の成否を分けた“あの判断” 【株式会社シマンテック】 法人向けオンラインストレージ DirectCloud-BOX 【ダイレクトクラウド】 SPPDレンタルサーバー 専用サーバー 【スタジオマップ】
検疫 オンラインストレージ/ファイルストレージ ホスティング
時系列で追う 「インシデントレスポンス」の成否を分けた“あの判断” 社内外でファイルを効率よく安全に共有・管理できる「ユーザ数無制限」の法人向けオンラインストレージ。「セキュリティ」と「利便性」の両立を追求し生産性の向上を実現。 用途に合わせて選べる全5コースを用意し、最も安価なエントリーコースでも運用保守を任せられるフルマネージドを実現した法人向けレンタルサーバー。Linux/Windows対応。

ファイアウォール」関連の特集


 昨今多発する、標的型攻撃に由来した情報漏洩対策として、Webアクセスの一元化による安全な通信を確保…



こんにちは。加賀結衣(かが ゆい)と申します。このコラムでは、2015年4月に発行された、株式会社マ…



広域イーサや検疫ネットでも使われるVLAN。代表的な4つの方式を特長交えて徹底解説!便利なVLAN、…


ファイアウォール」関連のセミナー

大阪:いよいよ日本上陸!巧妙ななりすましメールに厳重注意 【テクマトリックス/日本プルーフポイント】 締切間近 

開催日 5月26日(金)   開催地 大阪府   参加費 無料

90%以上の標的型攻撃はメールがきっかけとなっていることは周知の事実です。実際の被害は企業規模や地域に関係なく起きています。攻撃者は、取引先や同僚を装う巧みな文…

Alfresco最新バージョン5.1のご紹介と、Alfrescoハンズオン 【主催:ヴィセント/協力:オープンソース活用研究所】 締切間近 

開催日 5月31日(水)   開催地 東京都   参加費 無料

【本セミナーの特徴】第一部では、Alfrescoの最新バージョン5.1について、新機能を中心に解説します。第二部はハンズオンです。Alfrescoの導入から、ユ…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

ファイアウォール/ 不要な通信を制御!次世代ファイアウォール」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「ファイアウォール/ 不要な通信を制御!次世代ファイアウォール」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004872


IT・IT製品TOP > ネットワークセキュリティ > ファイアウォール > ファイアウォールのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ