不要な通信を制御!次世代ファイアウォール

この記事をtweetする このエントリーをはてなブックマークに追加

製品の基礎から選び方までをサポート! IT導入完全ガイド

不要な通信を制御!次世代ファイアウォール

2012/07/30


 昨今、Webブラウザで利用できるサービスが増加しており、多種多様なアプリケーションが氾濫しているのが現在のネットワーク環境である。その中には業務上必要なデータはもちろん、従業員の生産性を低下させるような不要なデータや企業のセキュリティを脅かすデータなども流通している。そうした状況の中、外部との境界を流れるデータをポートレベルで制御する従来型ファイアウォールではアプリケーションをターゲットにしたセキュリティ脅威には対応できなくなってきた。そこで、本稿ではこうした課題を見事に解決してくれる「次世代ファイアウォール」にスポットを当てて、アプリケーションの“識別”と“制御”の重要性から次世代ファイアウォールの有用性までを詳しく解説する。

ファイアウォール

※「ファイアウォール/不要な通信を制御!次世代ファイアウォール」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「ファイアウォール/不要な通信を制御!次世代ファイアウォール」の記事全文がお読みいただけます。

会員登録はこちら(無料)



1
1-1

次世代ファイアウォール登場の背景

■従来型ファイアウォールの限界

 次世代ファイアウォールの説明に入る前に、なぜ次世代ファイアウォールが登場したのか、その背景から説明しよう。既にご存じのように企業ネットワークは様々なセキュリティ脅威に晒されていることから、これまであらゆるセキュリティ対策が施されてきた。ファイアウォールもその1つである。ファイアウォールはインターネットなどの外部ネットワークとの境界に設置される関所的な存在であり、企業ネットワーク内のサーバやPCなどに外部からスパイ(セキュリティ脅威)が侵入しないよう、境界を通るトラフィックを厳しくチェックする役目を果たしている。
 現在多くの企業ネットワークに設置されている従来型ファイアウォールの大半はセッションログをチェックして怪しいトラフィックを見つけ出す「ステートフルパケットインスペクション型」のファイアウォールだ。これらのファイアウォールではトラフィックが使用するポートやプロトコルを評価することによって、外部からの攻撃や不正侵入をブロックしている。つまり、従来型ファイアウォールでは、あるポートを許可すると、そのポートを使用する全てのアプリケーションが通り抜け(使用)可能になる。例えば、Web閲覧を行うために“http”と“https”のポート80とポート443を許可すると、これと同じポートを使用する怪しいアプリケーションをブロックすることができなくなる。

■現在の企業ネットワークに対する脅威の実状

 現在、共通ポートあるいはhttp/httpsプロトコルを使った便利なアプリケーションがWeb 経由で次々と提供されている。その中には、動的なポート変更、SSLや SSH による暗号化、標準以外のポート使用などにより、従来型ファイアウォールを容易にすり抜けることができるアプリケーションも少なくない。
 当然ながら悪意を持った攻撃者たちがこの弱点を見逃すわけがなく、新しい攻撃ではこうした弱点が悪用されている。たとえば、アプリケーションをターゲットにしたり、アプリケーションを介してトンネリングしたり、攻撃を暗号化したりするようになってきたのだ。

図1 従来型ファイアウォールの実状
図1 従来型ファイアウォールの実状
アプリケーションは従来のポートベースのファイアウォールを容易にバイパスできるようになってきた。
資料提供:パロアルトネットワークス
■認可を受けていないアプリケーションの流入

 ここ数年の間に個人向けのアプリケーションが普及し、ビジネスアプリケーションとの区別が次第に困難になってきており、これらのアプリケーションを介して脅威が企業に簡単に侵入するようになってきた。例えば、インスタントメッセンジャー、P2PやWebベースでのファイル共有、Web メール、ソーシャルネットワーキング用アプリケーションなどがそれだ。
 たとえ組織のポリシーによってこれらのアプリケーションを禁止している場合でも、このようなアプリケーションが企業ネットワーク内にかなり高い比率で存在している。なぜなら、これらのアプリケーションの多くは従来型ファイアウォールを回避するように設計されているからである。従来型ファイアウォールでは、実質的にこれらのアプリケーションを判別できず、非生産的で潜在的な脅威を伴うトラフィックが企業ネットワークに入り込み始めている。その結果、本来優先されるべき安全な業務アプリケーションのネットワークリソースを確保できないという事態も起こるようになってきた。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ

ファイアウォール/不要な通信を制御!次世代ファイアウォール」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ファイアウォール」関連情報をランダムに表示しています。

ファイアウォール」関連の製品

クラウド型(SaaS型)WAFサービス Scutum(スキュータム) 【セキュアスカイ・テクノロジー】 構築例で学ぶ「ネットワーク仮想化」、導入前に知っておきたいセキュリティ知識 【ヴイエムウェア株式会社】 国産WAF SiteGuard / SiteGuard Lite 【ジェイピー・セキュア】
WAF SDN WAF
顧客情報流出や改ざんの防止、リスト型攻撃などユーザ認証や新たな脅威も適切に防御するクラウド型WAFサービス。導入後に必要な運用もすべてお任せ。 導入前に知っておきたい最低限のセキュリティ知識「ネットワーク仮想化」 高速・高品質なトラステッド・シグネチャを搭載。運用しやすい設定項目やインターフェースを備えた純国産ウェブアプリケーションファイアウォール(WAF)。

ファイアウォール」関連の特集


標的型攻撃やネットワークセキュリティの対策状況、UTMの導入状況などを2015年に実施した調査と比較…



 シスコシステムズは、2015年6月に新戦略「Security Everywhere」を発表した。モ…



 前回はIDS/IPSによる検出技術と、その運用上の課題や不正プログラム検出の限界について解説した。…


ファイアウォール」関連のセミナー

高度化するサイバー攻撃から会社を守れ!セキュリティ対策セミナ 【ディーアイエスソリューション/エムオーテックス/Cylance Japan/シスコシステムズ】  

開催日 9月22日(金)   開催地 東京都   参加費 無料

【小さな会社のIT担当者のためのセキュリティの常識】の執筆者、船井総合研究所の那須慎二氏登壇決定!・何故サイバー攻撃とそれによる被害は増え続けているのか。これか…

SSL通信環境におけるセキュリティ対策、ログ運用の提案ポイント 【マクニカネットワークス】  

開催日 9月6日(水)   開催地 東京都   参加費 無料

WebサイトのSSL化が年々右肩上がりに増加しており、現在約半数のWebサイトがSSL化されていると言われております。本来安全を確保するためのSSL通信が、暗号…

IT Solution Forum 2017 in 福島 【キヤノンシステムアンドサポート】  

開催日 9月12日(火)   開催地 福島県   参加費 無料

「生産性向上」、「クラウド・モバイルの活用」、「働き方改革」、「セキュリティ」などお客さまのビジネスに役立つセミナー・展示を多数開催致します。皆さまのご来場をお…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

ファイアウォール/ 不要な通信を制御!次世代ファイアウォール」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「ファイアウォール/ 不要な通信を制御!次世代ファイアウォール」の記事の続きがお読みいただけます。


Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004872


IT・IT製品TOP > ネットワークセキュリティ > ファイアウォール > ファイアウォールのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ