不要な通信を制御!次世代ファイアウォール

この記事をtweetする このエントリーをはてなブックマークに追加

製品の基礎から選び方までをサポート! IT導入完全ガイド

不要な通信を制御!次世代ファイアウォール

2012/07/30


 昨今、Webブラウザで利用できるサービスが増加しており、多種多様なアプリケーションが氾濫しているのが現在のネットワーク環境である。その中には業務上必要なデータはもちろん、従業員の生産性を低下させるような不要なデータや企業のセキュリティを脅かすデータなども流通している。そうした状況の中、外部との境界を流れるデータをポートレベルで制御する従来型ファイアウォールではアプリケーションをターゲットにしたセキュリティ脅威には対応できなくなってきた。そこで、本稿ではこうした課題を見事に解決してくれる「次世代ファイアウォール」にスポットを当てて、アプリケーションの“識別”と“制御”の重要性から次世代ファイアウォールの有用性までを詳しく解説する。

ファイアウォール

※「ファイアウォール/不要な通信を制御!次世代ファイアウォール」の記事を一部ご紹介します。会員登録を行い、 ログインすると、「ファイアウォール/不要な通信を制御!次世代ファイアウォール」の記事全文がお読みいただけます。

会員登録はこちら(無料)



1
1-1

次世代ファイアウォール登場の背景

■従来型ファイアウォールの限界

 次世代ファイアウォールの説明に入る前に、なぜ次世代ファイアウォールが登場したのか、その背景から説明しよう。既にご存じのように企業ネットワークは様々なセキュリティ脅威に晒されていることから、これまであらゆるセキュリティ対策が施されてきた。ファイアウォールもその1つである。ファイアウォールはインターネットなどの外部ネットワークとの境界に設置される関所的な存在であり、企業ネットワーク内のサーバやPCなどに外部からスパイ(セキュリティ脅威)が侵入しないよう、境界を通るトラフィックを厳しくチェックする役目を果たしている。
 現在多くの企業ネットワークに設置されている従来型ファイアウォールの大半はセッションログをチェックして怪しいトラフィックを見つけ出す「ステートフルパケットインスペクション型」のファイアウォールだ。これらのファイアウォールではトラフィックが使用するポートやプロトコルを評価することによって、外部からの攻撃や不正侵入をブロックしている。つまり、従来型ファイアウォールでは、あるポートを許可すると、そのポートを使用する全てのアプリケーションが通り抜け(使用)可能になる。例えば、Web閲覧を行うために“http”と“https”のポート80とポート443を許可すると、これと同じポートを使用する怪しいアプリケーションをブロックすることができなくなる。

■現在の企業ネットワークに対する脅威の実状

 現在、共通ポートあるいはhttp/httpsプロトコルを使った便利なアプリケーションがWeb 経由で次々と提供されている。その中には、動的なポート変更、SSLや SSH による暗号化、標準以外のポート使用などにより、従来型ファイアウォールを容易にすり抜けることができるアプリケーションも少なくない。
 当然ながら悪意を持った攻撃者たちがこの弱点を見逃すわけがなく、新しい攻撃ではこうした弱点が悪用されている。たとえば、アプリケーションをターゲットにしたり、アプリケーションを介してトンネリングしたり、攻撃を暗号化したりするようになってきたのだ。

図1 従来型ファイアウォールの実状
図1 従来型ファイアウォールの実状
アプリケーションは従来のポートベースのファイアウォールを容易にバイパスできるようになってきた。
資料提供:パロアルトネットワークス
■認可を受けていないアプリケーションの流入

 ここ数年の間に個人向けのアプリケーションが普及し、ビジネスアプリケーションとの区別が次第に困難になってきており、これらのアプリケーションを介して脅威が企業に簡単に侵入するようになってきた。例えば、インスタントメッセンジャー、P2PやWebベースでのファイル共有、Web メール、ソーシャルネットワーキング用アプリケーションなどがそれだ。
 たとえ組織のポリシーによってこれらのアプリケーションを禁止している場合でも、このようなアプリケーションが企業ネットワーク内にかなり高い比率で存在している。なぜなら、これらのアプリケーションの多くは従来型ファイアウォールを回避するように設計されているからである。従来型ファイアウォールでは、実質的にこれらのアプリケーションを判別できず、非生産的で潜在的な脅威を伴うトラフィックが企業ネットワークに入り込み始めている。その結果、本来優先されるべき安全な業務アプリケーションのネットワークリソースを確保できないという事態も起こるようになってきた。

…この記事の続きは、会員限定です。  会員登録はこちら(無料)

続きを読むには…
会員登録いただくと自動的にこの記事に戻り、続きが読めます。

会員登録(無料)・ログイン

このページの先頭へ

ファイアウォール/不要な通信を制御!次世代ファイアウォール」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ファイアウォール」関連情報をランダムに表示しています。

ファイアウォール」関連の製品

次世代ファイアウォールの弱点とは? プロキシ技術がいま必要な理由 【シマンテック】 クラウド型(SaaS型)WAFサービス Scutum(スキュータム) 【セキュアスカイ・テクノロジー】 原因はネットワーク? セキュリティ装置が期待通りの効果を上げない理由とは 【イクシアコミュニケーションズ株式会社】
認証 WAF ネットワーク管理
次世代ファイアウォールの弱点とは? プロキシ技術がいま必要な理由 顧客情報流出や改ざんの防止、リスト型攻撃などユーザ認証や新たな脅威も適切に防御するクラウド型WAFサービス。導入後に必要な運用もすべてお任せ。 原因はネットワーク? セキュリティ装置が期待通りの効果を上げない理由とは

ファイアウォール」関連の特集


IP基盤にデータを統合するユニファイドコミュニケーションにも落とし穴が‥。今回は、導入・活用の注意ポ…



 企業を代表とするあらゆる組織ネットワークにおいて、外部との境界地点で稼働するファイアウォールは、今…



コストが魅力なIP電話には一般の電話に比べて音声品質が劣るといった弱点が。回避法とIP電話を支えるV…


ファイアウォール」関連のセミナー

SSL通信環境におけるセキュリティ対策、ログ運用の提案ポイント 【マクニカネットワークス】  

開催日 11月15日(水)   開催地 東京都   参加費 無料

WebサイトのSSL化が年々右肩上がりに増加しており、現在約半数のWebサイトがSSL化されていると言われております。本来安全を確保するためのSSL通信が、暗号…

サイバーセキュリティセミナー2017 【インターネットイニシアティブ】  

開催日 10月19日(木)   開催地 大阪府   参加費 無料

標的型攻撃や5月に世界的に広まったWannaCryの様なランサムウェアに代表されるサイバー攻撃の被害が深刻化しています。こうした攻撃の手口は日々高度化・巧妙化し…

SSL通信環境におけるセキュリティ対策、ログ運用の提案ポイント 【マクニカネットワークス】  

開催日 12月20日(水)   開催地 東京都   参加費 無料

WebサイトのSSL化が年々右肩上がりに増加しており、現在約半数のWebサイトがSSL化されていると言われております。本来安全を確保するためのSSL通信が、暗号…

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

ファイアウォール/ 不要な通信を制御!次世代ファイアウォール」の記事を一部ご紹介しました。
会員登録を行い、ログインすると、「ファイアウォール/ 不要な通信を制御!次世代ファイアウォール」の記事の続きがお読みいただけます。


Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30004872


IT・IT製品TOP > ネットワークセキュリティ > ファイアウォール > ファイアウォールのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ