ファイアウォールでユーザー動向を可視化せよ、米Palo AltoのCTO：新たなアプローチが必要

米ファイアウォールベンダーPalo Altoは、アプリケーション制御を伴ったネットワーク防御の必要性を訴求する。

[國谷武史，ITmedia]

ズーク氏

　ポート番号とIPアドレスだけで防御するファイアウォールは、機能していると言えるだろうか――米ファイアウォールベンダーPalo Alto Networksの創業者でCTO（最高技術責任者）の二ール・ズーク氏は、ファイアウォールに対する疑問をこのように提起する。同氏はアプリケーションベースでの防御こそが重要になると主張している。

　ズーク氏は、Check Point Software Technologiesや旧NetScreen、Juniper Networksなどで技術部門の要職を務めたファイアウォールのエキスパートでもあり、ネットワークセキュリティの要として定着したファイアウォールが抱える現状を次のように指摘する。

　「今や企業で使われるアプリケーションの64％がHTTPやHTTPSを使う。これらの中身はWebブラウザジングもあれば、メールやインスタントメッセージング（IM）、ビジネスアプリケーションまで実に多彩だ。しかし、従来型のファイアウォールは80番ポートなどを通過するこれらのトラフィックの中身は理解できない」

　同氏が指摘する背景には、企業内で使われるアプリケーションの多様化や、Web対応の進展がある。近年のアプリケーションは、ファイアウォールをいかに回避するかを重点に開発されており、双方向性も伴ってファイアウォールを自由に通過してしまうという。インバウンド通信の防御に強い従来型のファイアウォールでは、従業員が企業内から発信するアウトバンド通信が招く脅威には対処できないというのが同氏の考えだ。

　「これからのファイアウォールは、ユーザーがどのようなアプリケーションをどのように使っているかを把握できることが求められる。そこに必要となるセキュリティ対策機能をセットにした仕組みをわれわれは推進している」（ズーク氏）

　同社では「App-ID」という独自のアプリケーションの信頼性を評価する仕組みを用意している。現在ではApp-IDで900種類以上のアプリケーションを識別できるといい、これにActiveDirectoryなどのユーザーIDと紐付けることで、個々のユーザーの利用状況を知ることができるとしている。ズーク氏は、ファイアウォールを見直そうという企業ではまずアプリケーションのトラフィックを可視化すべきとアドバイスする。

　「米国の大規模な金融機関では、1週間に1テラバイトものデータが送受信され、そのうち300Mバイトは中国製のIMソフトが占めていることが分かった。従業員がチャットや違法動画をダウンロードしている実態が明らかになり、管理者は非常に驚いていた」（同氏）

　こうした実態はまた、企業内の重要なデータが外部へ流出するリスクにもある。同氏は、現在のアプリケーションが双方向性を伴ってあらゆる種類のデータをやり取りしている実態を正しく理解すべきだという。

　最後に、ファイアウォールにこだわり続ける理由についてズーク氏は、「あらゆるセキュリティ対策機能を盛り込んだUTM（統合脅威管理）は使い勝手も含めて十分だとは思えず、Proxyサーバは制御できるアプリケーション数やパフォーマンスに限界がある。やはり、パフォーマンスと高度な安全性を両立できるファイアウォールの進化を目指したい」と述べている。

企業向け情報サイト「ITmedia エンタープライズ」へ

過去のセキュリティニュース一覧はこちら