第3回 ファイアウォールの常識：知ってるつもり？ 「セキュリティの常識」を再確認（3/3 ページ）

[佐山 享史（三井物産セキュアディレクション），ITmedia]

構成要素

NAT - アドレス変換

　もともとは、1990年代からの爆発的なインターネット接続数の増加に伴うIPv4アドレス空間不足（が危惧された問題）と密接に関連した技術である。NATを用いると、組織内に割り当てられたプライベートアドレスは、ファイアウォールを越え組織外部のホストと通信が可能になる。

　本来エンドツーエンドの通信が基本のIPネットワークにおいて、現在、多くの組織では、むしろ積極的にプライベートアドレスの割当が行なわれている。理由としては、前述のアドレス空間によるものが主だが、実質、組織外部との通信が不可能となることから、不正アクセスの脅威を半減することができることも、広く受け入れられている要因と考えられる。

　この技術によって、必要に応じて必要なだけ（N対N、1対N）外部との接続性を確保できることが可能になった。特に企業においては、セキュリティレベルを管理者側である程度コントロール出来る「プライベートアドレス + NAT」によるネットワーク構成が理想の運用方法に近いのかも知れない。

　このような背景から、現在のファイアウォールにはNATが必要最低限の機能として標準的に実装されている。また、現在広く利用されている負荷分散装置でも、複数ホストをコントロールするという性格から、基本技術としてNATが利用されている。

VPN

　ファイアウォールは組織の境界に位置することから、VPNの機能としても利用される。本店と支店間のネットワーク単位で接続する形態から、モバイル端末からのリモートアクセスまで用途はさまざまである。

　VPNは通常認証および暗号化を伴うため、ある程度高性能なプラットホームを要求する。大規模にVPNを利用する場合には、基本的なファイアウォールとは分離して、専用のVPN機を設置する傾向にある。最近では、SSL-VPN専用のアプライアンス製品が注目されていることもあり、純粋にアクセス制御を実施するファイアウォールとの使い分けが進む可能性が大きい。

ユーザーインタフェース

　その他、ファイアウォールの特徴としては、ユーザーフレンドリーなGUIが装備されていること多い。ルータ専用機と異なり、管理者は視覚的なアイコンの操作で、ルールの定義を行える。通常は、ここまでにあげたさまざまな機能を、単一の画面で統一的なポリシーとして定義でき、管理効率の向上が期待できる。

管理機構

　ユーザーインタフェースと合わせ、多くの製品では地理的に離れた複数のファイアウォールを統一的に管理できる機構を持ち、管理者の工数削減や、紙の上のでセキュリティポリシーを比較的容易に実際の複雑なネットワークへ適用できるようになった。

　同様に、複数ファイアウォールからの膨大な量となるアクセスログについても、GUIのいわゆるログビューアから容易に参照することができる。よい意味で、管理面での敷居が下がっている。

ファイアウォールの導入と運用

　ここまでファイアウォールの歴史から技術方式まで見てもらったが、上記を理解してファイアウォールを設置すれば、セキュリティは保てるのだろうか？　残念ながら答えはノーである。

　もちろん技術的な要因（というよりもむしろ概念自体かも知れない）で、アクセス制御が完全に実装できないということもある。しかし、実際の問題は、ファイアウォールを効率的に使用するためには、「設計」「運用」「リスク管理」といった人手による制御、Human Controlが重要になるからである。

リスクに関しては、前回記事の「Risk Cube」を参照

図2■Human Controlの要素

　ファイアウォールの導入、運用は管理者のスキルに依存する可能性が非常に高い。そのため、導入や運用に関しては適切なフローを作成し、実施することがファイアウォールをより効率的に使用する重要なファクターとなってくる。

推奨されるファイアウォール設定

　それでは、最後にファイアウォールの実際の設定に関してフォーカスしてみよう。下記は一般的に行われている設定例である。

<外部→内部>

- 使用サービスのみアクセス許可（80/tcp、443/tcp、25/tcp、110/tcpなど） - 上記以外に関しては、アクセス拒否

<内部→外部>

- 全ての通信を許可

　内部で公開サーバを使用している場合、外部から必要な通信だけアクセスを許可し、それ以外はアクセス拒否をする。そして、内部からの通信は基本的にすべてアクセス許可にする。つまり、脅威の対象を「外部」としているのが一般的だ。

　しかし、冒頭でお話ししたワームの拡散などにより、内部から外部への攻撃が起こることも意識する必要がある。これまでは単純に被害者であったのが、加害者になる可能性があり、それを放置することは同罪とみなされる危険性が高い。これを踏まえて、内部→外部の不必要な通信のアクセス制御を、強くお勧めする。

<内部→外部>

- 使用サービスのみアクセス許可（80/tcp、443/tcp、25/tcp、110/tcpなど） - 上記以外に関しては、アクセス拒否

　もちろん、可能であれば、内部→外部でも、通信できるホストを限定することで、より安全性が高まるだろう。

ファイアウォールに出来ないこと

　ファイアウォールを適切に設定し、運用したとしてもファイアウォールには、「できないことがある」ことを知っておく必要があるだろう。

　例えば、HTTP（80/tcp）がアクセス許可になっている場合、HTTPの通信内で攻撃パケットが通過したとしても、ファイアウォールでは正常な通信と判断してしまう。これでは内部ネットワークへの不正アクセスを防御することは不可能である。

　こういった点を防御するには、パケット単位だけではなく、さらに通信の内容を精査する必要がある。これを実行するものとしては、コンテンツフィルタやアプリケーションファイアウォール、IDSとの複合であるIPSといった製品がある。

　製品によっては、ファイアウォールにこれらの機能を併せ持ったものもあるが、いずれにせよ、これだけあれば万能ということではない。ルールで許可される通信に対しては、防御できないことに変わりがないことを知っておいて頂きたい。

---

　ファイアウォールは、セキュリティデバイスの中でも比較的「費用対効果」が見えやすいものである。そして諸所の問題があるとしても、現在では置き換えられるようなデバイスは存在しない（IPSへの期待は高いが、現段階ではファイアウォールと同じ用途での使用は難しい）。ファイアウォールの導入、もしくは再構築をお考えの場合にはぜひ上記のことを参考頂ければと思う。