連載
» 2016年08月16日 10時00分 公開

高度化するサイバー脅威に対応する境界セキュリティセキュリティ強化塾(3/4 ページ)

[キーマンズネット]

アプリの可視化と制御までカバーする次世代ファイアウォール

 昨今、多くのベンダーが「次世代」をうたうファイアウォールを販売している。次世代の定義は各社さまざまながら、サイバー脅威の進化に合わせるように機能が強化されている。幾つかの技術のうち、特に注目したいのは「アプリケーションの可視化」だ。

 「旧世代型」のファイアウォールに必要な機能は、特定のポートを開け、それ以外のポートは閉じるというものだった。例えば、Webサイトを閲覧するための80/443ポートだけを開けていれば、telnetやSSHなどを外部から接続できない。しかし、マルウェアが内部から外部に通信する際には、よく使われているポート(開いているポート)を利用することが多く、ファイアウォールは通過してしまう。

 そこで、開いているポートであっても通信の「中身」を把握して止められるような製品が増えている。その判別はURLやIPアドレスだけでなく、例えば「Facebookの閲覧」「YouTubeやニコニコ動画など動画閲覧サービスの利用」「DropboxやOneDrive、Boxなどクラウドストレージの利用」といったサービス単位でのチェックにも対応する。

 これを利用することで企業全体、部署ごとなどにルールを設定し、特定のアプリごとにファイアウォールで管理できる。もちろん、P2Pのプロトコルを止めたり、マルウェアによる通信を監視したりもできるので、より安全な境界制御が可能になる。

Webアプリを守るWAF

 境界を守らねばならない重要な要素として「自社が公開するWebサーバ」も忘れてはならない。ECサイトだけでなく、自社でWebサーバを管理している場合にも、サーバ上のコンテンツやアプリに脆弱(ぜいじゃく)性が残っていると、そこを踏み台にして社内ネットワークへの攻撃や情報窃取が行われる可能性がある。根本的な解決方法は、WebサーバやWebアプリケーションに存在する脆弱性をなくすことだが、完全になくすことが難しいのが現状だ。

 Webアプリケーションへの脆弱性攻撃を緩和するためには、Webアプリケーションファイアウォール(WAF)の導入を考えたい。これはSQLインジェクションやクロスサイトスクリプティングといった攻撃に特徴的な通信内容を検知し、ブロックするものだ。

 WAF機能はオンプレミスのシステムだけでなく、クラウドで提供されるサービスもある。後者の場合、世界中で発生している攻撃の手法が集合知として集約され、自動的にアップデートされることが特長だ。導入も比較的容易であるため、自社でWebサービスを提供している企業は検討すべきだろう。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。