実はこんなに奥の深い「ファイアウォール」（1/4 ページ）

ネットワークセキュリティを構成する基本コンポーネントの1つである「ファイアウォール」の今とこれからについて、詳しく説明する。

[ITmedia]

　インターネットの拡大とともに、ビジネスおよびプライベートにおいて私たちのコミュニケーション様式は変化し、インターネットへの依存度をますます高めている。

　こうした変化の背景には、ネットワークの接続性、アプリケーション、サービスなど各種技術面の著しい発展がある。セキュリティについても同様だ。ネットワーク利用形態の変化や範囲の拡大にともない、脅威となる原因や攻撃の手法は高度化してきた。一方で防御手段やその技術も大きく進化し、安全を手に入れるための道具の性能は向上している。その進化の最前線にあるセキュリティ手段を利用することで、ネットワークのいっそうの活用が可能になり、そこから得られるメリットも増大するだろう。

　この記事では、そうした「道具」――ネットワークセキュリティを構成する基本コンポーネントの1つであるファイアウォール機能の“今”と“これから”について紹介していきたい。

脅威の「質」の変化

　ファイアウォールの機能について説明する前に、それらがどういった脅威や攻撃からわれわれを守るために開発されたのかを考えてみたい。まず、システムに仕掛けられる攻撃のタイプだが、以下のように大別できるだろう。

1.侵入

内部システムに侵入し、システムの制御権を掌握することで、破壊、盗みなどの悪事を実行する

2.サービス不能／妨害（DoS）

大量のパケットを投げつけることによって、サーバまたはネットワークのリソースを消費させ、運用を妨害する

3.情報の搾取

権限を持たないものが不正に価値ある情報を入手する

　そして具体的な攻撃手法としては、以下のようなものが挙げられる。

1. パスワードを入手するために、総当りでパスワード入力を試行する

2. 利用可能なサービス／ポートをスキャンする

3. 改変したパケットを送り付け、システムを混乱させる

4. システムを信用させるために偽造したパケットを送る

5. 多量のパケットを送る

6. 利用可能なアプリケーションやOSの脆弱性を利用し、プロセスを破壊／乗っ取る

7. バックドアの作成、侵入

8. 攻撃の拡散

　このような攻撃に対し、ファイアウォールに代表されるセキュリティ手段は、アクセス制御による外部からの不要なアクセスの拒否、パケットの異常性の検出、DoS回避などの機能を提供している。これにより、ネットワークレベルの攻撃や脅威からは、システムをある程度保護できるようになってきた。

　しかしながら、ファイアウォールのポリシーで許可されたサービスである、Web、電子メール、DNSといったその他のアプリケーションを通じ、OSやアプリケーションなどの内部システムに潜む脆弱性を悪用する脅威は依然として存在する。むしろ、脆弱性の発見頻度が上がり、攻撃が高度化したことによって、ますます深刻な状況にあると言えるだろう。こうした攻撃は、プログラグの未熟な部分を利用し、バッファオーバーフローを発生させることで、悪意あるプログラムを実行し、バックドアの作成やワームの起動、破壊、情報流出、DoSなどの複合的な攻撃に発展している。

　脅威が増加した他の原因としては、ネットワーク利用範囲の拡大にともない、脅威の発生源が多様化したことも挙げられる。以前は、外部と接続された「境界部」に注力し、セキュリティ対策を実施していれば有効だった。しかし、インターネットを利用したリモートアクセスやイントラネットの利用、セキュリティ基準の異なるエクストラネットなど、運用環境は多様化し、境界線はあいまいになってきている。もし、これら信頼すべきネットワークやコンピュータに脆弱性が存在し、それを利用されてしまうと、短時間のうちに多大なる影響を受けることとなる。

過去から現在に至るファイアウォールの変遷

　ファイアウォールは、インターネットなど外部との間の境界セキュリティを実現する代表的な道具だ。今では、中規模以上の企業の80％が導入していると言われており、インターネットセキュリティの基本として広く普及している。

　が、外部との境界点という場所における防御の考え方や、ファイアウォール機能に求められる結果や位置付け、役割、さらにはセキュリティ導入における価値基準やリスクに対する考え方は組織によってさまざまだ。この結果、言葉は同じファイアウォールでも、さまざまな状態で運用されている。あるところでは「赤レンガ」なのに、別の場所では「インテリジェント・ビルの自動ドア」のような役割を果たし、またその高さや厚さもさまざま、という具合だ。