- 会員限定
- 2007/10/31 掲載
統合脅威管理(UTM)の中心機能であるファイアウォールの歴史:【連載】今話題のUTMを分かりやすく解説(2)(2/2)
進化したファイアウォール:ステートフル・インスペクション技術
このパケット・フィルタリング方式とアプリケーション・ゲートウェイが抱える2つの問題に対処すべく登場したのが、ステートフル・インスペクションという技術である。ステートフル・インスペクションでは、下記の技術によりこれまでの課題を克服した。
1つ目は、通信の状態情報(ステート)の維持・認識である。パケット・フィルタリングでは、一連の通信としての制御を行うのではなく、到達したパケット単体での検査を行い、制御を行っていた。しかしステートフル・インスペクションでは、通信全体の状態情報を保持することで、通信状況を元に動的にポートの開閉を行うことが可能になった。UDPなどの所謂コネクションレスの通信においても、仮想的にセッション情報を作成することで、通信の状況に基づいたポートの開閉およびアクセス制御を安全に行うことができる。
もう1つが、アプリケーション・レベルでの通信を検査、制御する技術である。近年、情報流出やウィルス感染を引き起こす原因として、P2Pソフトウェアやインスタント・メッセンジャなど、無秩序に利用すると危険となるアプリケーションが問題となっている。これらは、オープン・ポートを検索したり、HTTPなどの一般的なポートを利用しているため、ポート番号の確認だけでは制御ができない。しかしアプリケーション・レベルで精細に通信を検査することで、実際にあるポート番号を利用しているアプリケーションは何かを判断した上で、アクセス制御を行うことができる。これは、アプリケーション固有の動きとはどういうものかを認識するとともに、IPパケットのデータ(ペイロード)部分をチェックすることにより実現している。
このステートフル・インスペクションという技術は、ダイナミック・パケット・フィルタリングなどとも呼ばれており、現在のファイアウォールを支えるデ・ファクト・スタンダード技術として広く実装されている。しかしサポートするアプリケーションの数や通信状況の把握の精度などは、ベンダによって大きく異なるため、UTMを選択する際には注意が必要だ。
UTMに必須のネクスト・ジェネレーション・ファイアウォール
前回も説明したが、UTMは単に複数のセキュリティ対策を、シングル・プラットフォーム上で提供するものではない。真のUTMでは、複数のセキュリティ対策が互いに連携し、効果的な防御を実現できることが必要だ。
特に、通信の検査と防御を行うファイアウォールとIPS機能については、両者が密に連携を取る事により、アプリケーション・レベルの通信において、より堅牢なセキュリティ防御を実現することが出来る。先にも述べたが、ファイアウォールでは、通信の状態情報を保持し、アプリケーション・レベルで適切な通信が行われているかどうか等の通信のチェックを詳細に行うことができる。そして、ファイアウォールのルールで許可した通信において、ファイアウォールが保持する詳細な通信情報を元に今度はIPS機能として攻撃のチェックを行えば、より正確な、そして効果的な防御が可能だ。ファイアウォールとIPS機能が密接に統合化されたものは、ネクスト・ジェネレーション・ファイアウォールとも呼ばれている(図3)。
 |
図3 ネクスト・ジェネレーション・ファイアウォールの機能 |
真のUTMを見極めるポイント
UTMによっては、ファイアウォールとIPS機能がまったく連携せず、完全な別モジュールとして稼動するものが多数ある。同じ通信を制御するのに、別々に通信情報を保持し、処理を行うのは処理的にもシステム・リソース的にも効率的ではない。
また多くのIPSは、不信な通信を発見することを目的として設計されたIDS(Intrusion Detection System)から発展したものが多い。IDSから発展したIPSは、不振な通信を発見することに注力されていたため、過敏な検知による誤検知が多い。しかし境界セキュリティにおいてこれは許容されるものではない。そのため管理者は、攻撃を検知する基準をゆるめて設定することで、誤検知を減らしこの問題を回避していた。しかし基準を緩めた設定では、攻撃自体を見逃す可能性もあり、IPS機能を十分に発揮することができずに危険だ。これではIPSどころかUTMの導入の意味さえも薄れてしまう。
|
UTMを選ぶ重要なポイント… 通信の詳細情報から導き出されたアクセス制御と侵入防御の両方が可能な、ファイアウォールとIPS機能が密接に連携したネクスト・ジェネレーション・ファイアウォールが実装されているものを探すこと |
今回は、UTMの最も基本となるファイアウォール機能を中心に説明を行った。次回はUTMの効果的な管理について解説を行う。
|
園田 法子
2000年10月、チェック・ポイント・ソフトウェア・テクノロジーズ入社。以来現在にいたるまで、セキュリティ・エンジニアとして勤務。チェック・ポイント製品によるセキュリティ対策の普及活動に従事しながら、セキュリティの啓蒙に尽力している。 執筆履歴として、『ネットワークマガジン』(アスキー社)「チェック・ポイント製品で実現する 企業セキュリティ「カイゼン」策」(2006年1月号6月号)など。 |
関連コンテンツ
関連タグ
タグをフォローすると最新情報が表示されます
関連コンテンツ
あなたの投稿
PR
PR
PR
今すぐビジネス+IT会員にご登録ください。
すべて無料!今日から使える、仕事に役立つ情報満載!
-
ここでしか見られない
2万本超のオリジナル記事・動画・資料が見放題!
-
完全無料
登録料・月額料なし、完全無料で使い放題!
-
トレンドを聞いて学ぶ
年間1000本超の厳選セミナーに参加し放題!
-
興味関心のみ厳選
トピック(タグ)をフォローして自動収集!
投稿したコメントを
削除しますか?
あなたの投稿コメント編集
通報
報告が完了しました
必要な会員情報が不足しています。
必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。
-
記事閲覧数の制限なし
-
[お気に入り]ボタンでの記事取り置き
-
タグフォロー
-
おすすめコンテンツの表示
詳細情報を入力して
会員限定機能を使いこなしましょう!
「」さんのブロックを解除しますか?
ブロックを解除するとお互いにフォローすることができるようになります。
ブロック
さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。
さんをブロックしますか?
ブロック
ブロックが完了しました
ブロック解除
ブロック解除が完了しました