不要な通信を制御!次世代ファイアウォール

この記事をtweetする このエントリーをはてなブックマークに追加

製品の基礎から選び方までをサポート! IT導入完全ガイド

不要な通信を制御!次世代ファイアウォール

2012/07/30


 昨今、Webブラウザで利用できるサービスが増加しており、多種多様なアプリケーションが氾濫しているのが現在のネットワーク環境である。その中には業務上必要なデータはもちろん、従業員の生産性を低下させるような不要なデータや企業のセキュリティを脅かすデータなども流通している。そうした状況の中、外部との境界を流れるデータをポートレベルで制御する従来型ファイアウォールではアプリケーションをターゲットにしたセキュリティ脅威には対応できなくなってきた。そこで、本稿ではこうした課題を見事に解決してくれる「次世代ファイアウォール」にスポットを当てて、アプリケーションの“識別”と“制御”の重要性から次世代ファイアウォールの有用性までを詳しく解説する。

ファイアウォール

※「ファイアウォール/不要な通信を制御!次世代ファイアウォール」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「ファイアウォール/不要な通信を制御!次世代ファイアウォール」の記事全文がお読みいただけます。

会員登録はこちら(無料)



1
1-1

次世代ファイアウォール登場の背景

■従来型ファイアウォールの限界

 次世代ファイアウォールの説明に入る前に、なぜ次世代ファイアウォールが登場したのか、その背景から説明しよう。既にご存じのように企業ネットワークは様々なセキュリティ脅威に晒されていることから、これまであらゆるセキュリティ対策が施されてきた。ファイアウォールもその1つである。ファイアウォールはインターネットなどの外部ネットワークとの境界に設置される関所的な存在であり、企業ネットワーク内のサーバやPCなどに外部からスパイ(セキュリティ脅威)が侵入しないよう、境界を通るトラフィックを厳しくチェックする役目を果たしている。
 現在多くの企業ネットワークに設置されている従来型ファイアウォールの大半はセッションログをチェックして怪しいトラフィックを見つけ出す「ステートフルパケットインスペクション型」のファイアウォールだ。これらのファイアウォールではトラフィックが使用するポートやプロトコルを評価することによって、外部からの攻撃や不正侵入をブロックしている。つまり、従来型ファイアウォールでは、あるポートを許可すると、そのポートを使用する全てのアプリケーションが通り抜け(使用)可能になる。例えば、Web閲覧を行うために“http”と“https”のポート80とポート443を許可すると、これと同じポートを使用する怪しいアプリケーションをブロックすることができなくなる。

■現在の企業ネットワークに対する脅威の実状

 現在、共通ポートあるいはhttp/httpsプロトコルを使った便利なアプリケーションがWeb 経由で次々と提供されている。その中には、動的なポート変更、SSLや SSH による暗号化、標準以外のポート使用などにより、従来型ファイアウォールを容易にすり抜けることができるアプリケーションも少なくない。
 当然ながら悪意を持った攻撃者たちがこの弱点を見逃すわけがなく、新しい攻撃ではこうした弱点が悪用されている。たとえば、アプリケーションをターゲットにしたり、アプリケーションを介してトンネリングしたり、攻撃を暗号化したりするようになってきたのだ。

図1 従来型ファイアウォールの実状
図1 従来型ファイアウォールの実状
アプリケーションは従来のポートベースのファイアウォールを容易にバイパスできるようになってきた。
資料提供:パロアルトネットワークス
■認可を受けていないアプリケーションの流入

 ここ数年の間に個人向けのアプリケーションが普及し、ビジネスアプリケーションとの区別が次第に困難になってきており、これらのアプリケーションを介して脅威が企業に簡単に侵入するようになってきた。例えば、インスタントメッセンジャー、P2PやWebベースでのファイル共有、Web メール、ソーシャルネットワーキング用アプリケーションなどがそれだ。
 たとえ組織のポリシーによってこれらのアプリケーションを禁止している場合でも、このようなアプリケーションが企業ネットワーク内にかなり高い比率で存在している。なぜなら、これらのアプリケーションの多くは従来型ファイアウォールを回避するように設計されているからである。従来型ファイアウォールでは、実質的にこれらのアプリケーションを判別できず、非生産的で潜在的な脅威を伴うトラフィックが企業ネットワークに入り込み始めている。その結果、本来優先されるべき安全な業務アプリケーションのネットワークリソースを確保できないという事態も起こるようになってきた。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ

ファイアウォール/不要な通信を制御!次世代ファイアウォール」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ファイアウォール」関連情報をランダムに表示しています。

ファイアウォール」関連の製品

クライアント仮想化ソリューション Ericom 【アシスト】 スマートデバイス仮想化基盤 Avast Virtual Mobile Platform 【日立ソリューションズ】 Clovernet Standard 【NECネクサソリューションズ】
VDI MDM インターネットVPN
あらゆるデバイスにWindowsアプリ、VDI、物理PCへの接続を提供。低帯域でも快適な通信プロトコル、ブラウザをRDPクライアントとして使える機能等を備えている。 スマートデバイスの活用、BYODの実現を支援する仮想化基盤ソリューション。スマートデバイス向け仮想化基盤により、情報漏洩リスクの軽減とデータの公私分離を実現。 専用線と同等水準の信頼性を確保しながら、バックボーンに公衆網を利用、優れたコストパフォーマンスを実現したインターネットVPNサービス。

ファイアウォール」関連の特集


  脆弱性を悪用する攻撃からアプリケーションを保護するための根本的解決は、「脆弱性を修正する」ことで…



ここ2〜3年でブロードバンドルーターは低価格化とともにさらに高機能化しています。今回は注目の新機能を…



 パロアルトネットワークスの調査では、全体のトラフィックの8%がファイル共有のアプリケーションだった…


「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

ファイアウォール/ 不要な通信を制御!次世代ファイアウォール」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「ファイアウォール/ 不要な通信を制御!次世代ファイアウォール」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004872


IT・IT製品TOP > ネットワークセキュリティ > ファイアウォール > ファイアウォールのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ