不要な通信を制御!次世代ファイアウォール

この記事をtweetする このエントリーをはてなブックマークに追加

製品の基礎から選び方までをサポート! IT導入完全ガイド

不要な通信を制御!次世代ファイアウォール

2012/07/30


 昨今、Webブラウザで利用できるサービスが増加しており、多種多様なアプリケーションが氾濫しているのが現在のネットワーク環境である。その中には業務上必要なデータはもちろん、従業員の生産性を低下させるような不要なデータや企業のセキュリティを脅かすデータなども流通している。そうした状況の中、外部との境界を流れるデータをポートレベルで制御する従来型ファイアウォールではアプリケーションをターゲットにしたセキュリティ脅威には対応できなくなってきた。そこで、本稿ではこうした課題を見事に解決してくれる「次世代ファイアウォール」にスポットを当てて、アプリケーションの“識別”と“制御”の重要性から次世代ファイアウォールの有用性までを詳しく解説する。

ファイアウォール

※「ファイアウォール/不要な通信を制御!次世代ファイアウォール」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「ファイアウォール/不要な通信を制御!次世代ファイアウォール」の記事全文がお読みいただけます。

会員登録はこちら(無料)



1
1-1

次世代ファイアウォール登場の背景

■従来型ファイアウォールの限界

 次世代ファイアウォールの説明に入る前に、なぜ次世代ファイアウォールが登場したのか、その背景から説明しよう。既にご存じのように企業ネットワークは様々なセキュリティ脅威に晒されていることから、これまであらゆるセキュリティ対策が施されてきた。ファイアウォールもその1つである。ファイアウォールはインターネットなどの外部ネットワークとの境界に設置される関所的な存在であり、企業ネットワーク内のサーバやPCなどに外部からスパイ(セキュリティ脅威)が侵入しないよう、境界を通るトラフィックを厳しくチェックする役目を果たしている。
 現在多くの企業ネットワークに設置されている従来型ファイアウォールの大半はセッションログをチェックして怪しいトラフィックを見つけ出す「ステートフルパケットインスペクション型」のファイアウォールだ。これらのファイアウォールではトラフィックが使用するポートやプロトコルを評価することによって、外部からの攻撃や不正侵入をブロックしている。つまり、従来型ファイアウォールでは、あるポートを許可すると、そのポートを使用する全てのアプリケーションが通り抜け(使用)可能になる。例えば、Web閲覧を行うために“http”と“https”のポート80とポート443を許可すると、これと同じポートを使用する怪しいアプリケーションをブロックすることができなくなる。

■現在の企業ネットワークに対する脅威の実状

 現在、共通ポートあるいはhttp/httpsプロトコルを使った便利なアプリケーションがWeb 経由で次々と提供されている。その中には、動的なポート変更、SSLや SSH による暗号化、標準以外のポート使用などにより、従来型ファイアウォールを容易にすり抜けることができるアプリケーションも少なくない。
 当然ながら悪意を持った攻撃者たちがこの弱点を見逃すわけがなく、新しい攻撃ではこうした弱点が悪用されている。たとえば、アプリケーションをターゲットにしたり、アプリケーションを介してトンネリングしたり、攻撃を暗号化したりするようになってきたのだ。

図1 従来型ファイアウォールの実状
図1 従来型ファイアウォールの実状
アプリケーションは従来のポートベースのファイアウォールを容易にバイパスできるようになってきた。
資料提供:パロアルトネットワークス
■認可を受けていないアプリケーションの流入

 ここ数年の間に個人向けのアプリケーションが普及し、ビジネスアプリケーションとの区別が次第に困難になってきており、これらのアプリケーションを介して脅威が企業に簡単に侵入するようになってきた。例えば、インスタントメッセンジャー、P2PやWebベースでのファイル共有、Web メール、ソーシャルネットワーキング用アプリケーションなどがそれだ。
 たとえ組織のポリシーによってこれらのアプリケーションを禁止している場合でも、このようなアプリケーションが企業ネットワーク内にかなり高い比率で存在している。なぜなら、これらのアプリケーションの多くは従来型ファイアウォールを回避するように設計されているからである。従来型ファイアウォールでは、実質的にこれらのアプリケーションを判別できず、非生産的で潜在的な脅威を伴うトラフィックが企業ネットワークに入り込み始めている。その結果、本来優先されるべき安全な業務アプリケーションのネットワークリソースを確保できないという事態も起こるようになってきた。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ

ファイアウォール/不要な通信を制御!次世代ファイアウォール」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ファイアウォール」関連情報をランダムに表示しています。

ファイアウォール」関連の製品

法人向けオンラインストレージ DirectCloud-BOX 【ダイレクトクラウド】 クライアント仮想化ソリューション Ericom 【アシスト】 アクセスポイントACERA+無線ネットワーク管理システムUNIFAS 【フルノシステムズ】
オンラインストレージ/ファイルストレージ VDI 無線LAN
社内外でファイルを効率よく安全に共有・管理できる「ユーザ数無制限」の法人向けオンラインストレージ。「セキュリティ」と「利便性」の両立を追求し生産性の向上を実現。 あらゆるデバイスにWindowsアプリ、VDI、物理PCへの接続を提供。低帯域でも快適な通信プロトコル、ブラウザをRDPクライアントとして使える機能等を備えている。 アクセスポイント「ACERA」と管理ソフトウェア「UNIFAS」で構成される無線LANソリューション。機器は日本語GUI対応の国産製品。アクセスポイント1000台まで一括管理可能。

ファイアウォール」関連の特集


中堅・中小企業向けルータを取り巻く事情として挙げられる「二極化」ほか、4つのトレンドをご紹介!そのメ…



ネットワークが遅い、早い、重い、軽い…なぜそう感じるのか、説明できますか?ネットワーク遅延の理由と改…



サーバーやネットワークのダウンを引き起こすDDoS攻撃。止められない攻撃は待つしかない?知らぬ間に踏…


ファイアウォール」関連のセミナー

ランサムウェアやビジネスメール詐欺への最適な対策とは? 【テクマトリックス/日本プルーフポイント】 締切間近 

開催日 12月9日(金)   開催地 大阪府   参加費 無料

90%以上の標的型攻撃はメールがきっかけとなっていることは周知の事実です。実際の被害は企業規模や地域に関係なく起きています。攻撃者は、取引先や同僚を装う巧みな文…

Alfresco最新バージョン5.1のご紹介 【主催:ヴィセント/協力:オープンソース活用研究所】 締切間近 

開催日 12月8日(木)   開催地 東京都   参加費 無料

【本セミナーの特徴】・Alfrescoの最新バージョン 5.1 について、新機能を中心に解説します。【対象者】・Alfrescoに感心のあるエンジニア、マネージ…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

ファイアウォール/ 不要な通信を制御!次世代ファイアウォール」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「ファイアウォール/ 不要な通信を制御!次世代ファイアウォール」の記事の続きがお読みいただけます。


Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004872


IT・IT製品TOP > ネットワークセキュリティ > ファイアウォール > ファイアウォールのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ