第11回 ファイアウォール今昔物語 標的型攻撃で花咲く次世代FW：日本型セキュリティの現実と理想（3/3 ページ）

[武田一城，ITmedia]

次世代の定義は受け入れられず

　しかし次世代ファイアウォールは、2008年の発売から3年間はあまり普及しなかった。従来の機能から段階的ではなく一足飛びに進化し過ぎて、企業にその意味が伝わりにくかったことと、その必要性を認知させるような具体的な情報漏えい事件なども起こらなかった。

　次世代ファイアウォールへの進化が、前項で挙げた「高速UTM機能」「アプリケーション識別・制御機能」「ユーザーの識別・制御機能」の3つの代表的な機能を徐々に搭載していく過程であれば、ユーザーも当初から受け入れやすかったことだろう（図2参照）。

　実は1990年代のステートフルインスペクションと、この次世代ファイアウォールのコンセプトや機能設計を実施したのは同一人物だ。Palo Alto Networks創業者のニール・ズーク氏そのひとである。この一人の天才的なセキュリティエンジニアの考え方は斬新で、世間が受け入れるには、時間が必要だったということだろう。

図2：ファイアウォールの進化

風向きが一気に変わった2011年の標的型攻撃事件

　2011年の日本のセキュリティには、台風並みの大きな風が業界全体に吹き荒れた。それが、三菱重工やIHIなどの防衛機密を狙ったサイバー攻撃事件である。この事件は、一般企業とは比べ物にならない堅固なセキュリティ対策ですら「標的型攻撃」と言われる高度な攻撃には対処できない状況になったことを証明した。詳細については多くの報道もあったので割愛するが、この事件によって日本国中がそれまでのセキュリティ対策がいかに心もとない状況にあり、実質的に無効化されているという事実気付かされた。

　この2011年の標的型攻撃事件によって、セキュリティ市場全体におけるそれまでの防御一辺倒という対策の前提条件が崩壊した。次世代ファイアウォールは、その存在自体が従来のファイアウォールの無効化を前提としていたため、ユーザーが新しいコンセプトを理解して受け入れる状況が一気に整ったともいえる。次世代ファイアウォールは、標的型攻撃事件によって花を咲かせたセキュリティ対策製品ということだ。

対策の双璧の崩壊とセキュリティマネジメント

　このように、従来型のセキュリティ製品では巧妙で高度な攻撃へ対応することが難しいということが白日の下にさらされた。以前の連載で述べたように、アンチウイルスも過半数のマルウェアを素通ししてしまう。従来のセキュリティ対策の双璧ともいうべきファイアウォールとアンチウイルスによる双璧の対策は攻撃者に突破されてしまったのだ。

　これまで非常に多くの時間やコストをかけて講じられ、有効と思われていたセキュリティ対策の効果は、現時点で限定的になっている。残念ながら、これが攻撃側に圧倒的優位性がある現在のセキュリティ対策の現状となる。

　次世代型ファイアウォールの登場で、そのような状況の一部は解決された。ただし、これを有効的に活用するには、ベンダー任せで対策製品を導入すればよかった時代のセキュリティの考え方を変え、マネジメントするという意識と行動を実践していくことが企業に求められる。これこそが新しいセキュリティ対策の大前提であり、現在のセキュリティはそのマネジメントなくして語ってはいけないのである。

・Palo Alto Networksは、Palo Alto Networks, Inc.の登録商標です。

・FireWall-1は、CHECK POINT SOFTWARE TECHNOLOGIES LTD.の登録商標です。

武田一城（たけだ かずしろ）　株式会社日立ソリューションズ

1974年生まれ。セキュリティ分野を中心にマーケティングや事業立上げ、戦略立案などを担当。セキュリティの他にも学校ICTや内部不正など様々な分野で執筆や寄稿、講演を精力的に行っている。特定非営利活動法人「日本PostgreSQLユーザ会」理事。日本ネットワークセキュリティ協会のワーキンググループや情報処理推進機構の委員会活動、各種シンポジウムや研究会、勉強会などでの講演も勢力的に実施している。

• TechTarget連載：今、理解しておきたい「学校IT化の現実」／失敗しない「学校IT製品」の選び方
• 著書「内部不正対策 14の論点」（共著、JNSA／組織で働く人間が引き起こす不正・事項対応WG）