ネットワークセキュリティ – ファイアウォール
ファイアウォールは、インターネットなど外部ネットワークから社内LANなどの内部ネットワークに侵入されるのを防ぐシステムです。実装方法としては、ルータに機能を持たせる場合や専用のハードウェアを設置する場合があります。基本動作は「外部からのトラフィックは拒否」「内部から外に出ていった通信の戻りだけを許可」という仕組みで、これはステートフルインスペクションと呼ばれます。
ただしファイアウォールは「この通信を許可するか拒否するか」だけを判断する仕組みであり、そのパケットが悪意あるものかどうかまでは判断できません。たとえばDoS攻撃やワーム、Webアプリの脆弱性を狙った不正なリクエストまでは防ぎきれないため、IDSやIPSと併用する必要があります。
ネットワークセキュリティ – IDS
IDS(Intrusion Detection System)は侵入検知システムです。ネットワーク上を流れる通信を監視し、攻撃と疑わしいパケットを検知すると管理者に通知します。検知の根拠となるのは「シグネチャ」と呼ばれる攻撃パターンのデータベースです。
ファイアウォールの外側や内側にIDSを配置すれば、怪しい挙動を検出し、管理者はその情報をもとにファイアウォールのルールを調整できます。ただしIDSはあくまで検知と通知にとどまり、攻撃をリアルタイムで止めることはできません。
ネットワークセキュリティ – IPS
IPS(Intrusion Prevention System)は侵入防止システムです。IDSと同じくシグネチャを利用して攻撃パターンを検出しますが、IPSは検出した時点でパケットを破棄したりセッションを切断したりして即座に防御します。ワームやDoSの特徴的な通信を検出すると、自動的に防御を行うため、IDSのように管理者が対応するまで待つ必要がありません。
IPSはファイアウォールと並んでネットワーク防御の要となる仕組みです。
ネットワークセキュリティ – ファイアウォール導入時の構成
企業ネットワークにファイアウォールを導入する際は、最低でも3つのセグメントに分けるのが一般的です。
内部ネットワーク:社内LANなどの内部環境(Trustネットワーク)
外部ネットワーク:インターネットなどの外部環境(Untrustネットワーク)
DMZ:内部と外部の中間に置かれる公開サーバ用ネットワーク
DMZにWebサーバやメールサーバを配置することで、仮にそれらのサーバが攻撃で侵入されても、内部ネットワークへ直接到達できないように防ぎます。
トラフィックの基本ルール
内部から外部:設計ポリシーに従い必要な通信のみ許可
外部から内部:内部からの戻り通信のみ許可
内部からDMZ:必要最低限の通信を許可
DMZから内部:内部からの戻り通信のみ許可
外部からDMZ:公開サーバに必要な通信のみ許可
DMZから外部:外部からの戻り通信のみ許可
ECサイトのように外部公開が中心のサービスでは、内部ネットワークとは完全に切り離し、データセンタなどで外部公開用ネットワークを構築するケースも多く見られます。この場合は「内部・外部」という二層構造で考え、セキュリティだけでなく負荷分散装置の設計も重要になります。
ファイアウォールの基本機能
ファイアウォールには、動作を支える2つの基本機能があります。
1つ目は ステートフルインスペクション(SPI: Stateful Packet Inspection)、2つ目は ステートフルフェールオーバー です。これらはファイアウォールが単なるフィルタ装置にとどまらず、信頼できるセキュリティ機器として使われる理由でもあります。
ステートフルインスペクション
ステートフルインスペクションとは、ファイアウォールを通過する通信の状態を記録し、それに基づいてパケットの通過を許可・拒否する仕組みです。
LAN側(内部)から送信された通信はセッションとして一時的に記録されます。外部(WAN)から戻ってくるパケットは、このセッション情報と照合し、整合性があれば許可、合わなければ拒否します。
この仕組みにより
- 内部から発信した通信の戻りは許可
- 外部から勝手に始まる通信は拒否
という安全なルールを自動的に適用できます。ほとんどのセキュリティ製品では、このステートフルインスペクションが標準で有効化されています。
ステートフルフェールオーバー
ステートフルフェールオーバーとは、冗長化されたファイアウォール間で通信状態を引き継ぎ、障害発生時にもセッションを切らさずに通信を継続できる仕組みです。
2台のファイアウォールを冗長構成にするとき、アクティブ機とスタンバイ機の役割を持たせます。通常はアクティブ機が処理を担当し、そのセッション情報(TCPセッション、UDPセッション、NAT変換テーブル、ARPテーブルなど)をスタンバイ機へリアルタイムで同期します。
万一アクティブ機に障害が発生すると、フェールオーバーリンクを通じて異常が通知され、スタンバイ機がアクティブ機へ昇格します。この際、IPアドレスやMACアドレスも引き継がれるため、クライアント側は途切れなく通信を続けることができます。
UTM(統合脅威管理)
UTMとは、複数のセキュリティ機能を1つの製品にまとめ、集中して運用できるようにした仕組みです。正式には Unified Threat Management(統合的な脅威管理手法) を意味しますが、一般的には「複数のセキュリティ機能を搭載した装置」を指してUTMと呼ぶことが多いです。
UTM製品には、ファイアウォール、IPS、アンチウイルス、アンチスパム、コンテンツフィルタリングなど、従来は別々の機器で実装していたセキュリティ対策をまとめて搭載することができます。
UTMの主な機能
UTMが持つ機能は製品によって違いますが、代表的なものは次の通りです。
- IPS(侵入防止システム)
- アンチウイルス
- アンチスパム
- Webフィルタリング
- アプリケーション制御
- 脆弱性管理
- IPレピュテーション(Webサイトやメール送信元のIPアドレスを評価して安全性を判断する仕組み)
これらを一元的に利用できるため、複数の機器を運用するより効率的であり、導入コストや管理負担を減らすことができます。
UTMのメリットとデメリット
UTMの最大のメリットは、多くのセキュリティ機能を1台で提供できることです。これにより運用の簡素化やコスト削減が可能になります。特に小規模なオフィスや学校、店舗のネットワーク環境では、UTMを導入するだけで必要なセキュリティ対策を一通りカバーできます。
一方で、注意すべき点もあります。UTMで複数のセキュリティ機能を同時に有効化すると、装置の処理負荷が増大し、通信速度が低下することがあります。そのため中規模以上のネットワークでは、UTM1台に全機能を担わせるのではなく、ファイアウォールやIPSなどを専用アプライアンスとして分離させる設計が選ばれるケースもあります。