企業情報システムのセキュリティ向上を実現するには、セキュリティポリシーの策定から人員の教育にいたるまで、非常に多くの要素を考慮しなければならない。情報システムに分類される要素――アンチウイルスやファイアウォール、VPNなど――だけでも、数え上げていけばその多さに驚くのではないだろうか。

　中でも最も基本的、かつ重要なセキュリティ対策が、ファイアウォールの導入だ。最近ではしばしば、「ファイアウォールだけではセキュリティ対策は不十分だ」と言われる。だが逆に、「ファイアウォールを抜きにしてはセキュリティ向上は実現できない」のも事実である。企業ネットワークと外部ネットワークの境目で、不必要なパケットをブロックする最前線の役割を担うシステムこそ、ファイアウォールなのだ。

　2002年5月に公表された総務省の情報セキュリティ対策状況に関する調査によると、ファイアウォールの導入率は民間大企業ならば86パーセント超と、相当高い割合で導入されている。中小企業でも、ウイルス対策製品と並んで広く導入されるようになってきた。

　だが導入形式を見ると、そこには大きな変化が見られる。アプライアンス型製品の増加だ。

　かつては、Solarisなど汎用的なOS上で動作する、ソフトウェアベースのファイアウォール製品が市場の主流となっていた。だが最近では、管理・運用の手間を大きく省けることが評価され、ハードウェアと専用OSのうえにファイアウォールサービスを搭載したアプライアンス型製品の導入が急増している。アプライアンス型の場合、導入や設定が容易なだけでなく、実運用に入ってからのアップデートがスムーズに行える。

　特に、複数の拠点にファイアウォールを導入したいという場合、この機能は重宝するはずだ。管理者がわざわざ現地に出向いて、パッチの適用やポリシーの変更といった作業を行う必要はない。Nimdaのように、Webを通じても感染する強力なウイルスが登場した場合には、即座にルール設定を変更して水際でブロックするという手が有効だが、これもリモートから一元的に、スムーズに行える。

　専用OSの場合、汎用的なOSに比べるとのセキュリティホールが比較的少ないということも、管理者にとっては重要な点だ。現に、ノキア「IPシリーズ」の基盤となる専用OS「IPSO」の場合、2002年に警告されたSNMPに起因する脆弱性以外に、セキュリティホールは発見されていない。これはつまり、いちいちサービスを停止させ、管理者がパッチを適用する手間が省けるということでもある。

　さらにパフォーマンスに関しても、汎用OSとソフトウェア製品の組み合わせに比べると、専用OSが搭載され、しかも不必要なサービスを省いたアプライアンス製品のほうに軍配が上がる。

　最近では、ローエンド向けからインターネットデータセンターをターゲットとしたハイエンドの製品まで、さまざまなレンジのアプライアンス型ファイアウォール製品が提供されている。一体どれを採用すべきか、目移りすることもあるだろう。

　実は、アプライアンス型ファイアウォール製品を選ぶ際には、幾つかのポイントがある。多くの企業が、機器選択の際に重視するのは、パフォーマンスと価格、導入実績などだろう。だがこのパフォーマンスの数字に、ちょっとした落とし穴がある。スペック表に掲載されている数値と、実際に導入してからの数値に差が生じることがあるのだ。

　多くの場合、カタログに掲載されている数値は、あくまである一定の条件のもとでのテスト結果に過ぎない。1500バイト程度の一定のサイズのパケットを処理する分には高速なパフォーマンスが実現できても、現実の、細かなパケットが入り混じったトラフィックとなると、とたんにパフォーマンスが落ちるケースもあるのだ。

　さらに、NATをかけているかどうか、VPN（IPSec）を併用しているか、あるいはファイアウォールのポリシールール数はどのくらいあるかによっても、パフォーマンスは大きく変動する。単純に「専用ASICだから早い」とは言い切ることはできない。むしろ専用ASICであるがゆえに、新しい攻撃パターンや変種の攻撃パターンに柔軟に対応できず、結果として攻撃用パケットを通過させてしまう可能性もあるのだ。

　また、最近ではどの製品でも、単なる「パケットフィルタリング」ではなく「ステートフル・インスペクション」方の精査を行うことを謳うようになった。だが一口にステートフル・インスペクションといっても、実際の挙動を細かく見ていくと違いがある。代表的なものが、フラグメントされたTCPパケットの取り扱いだ。一口にステートフル・インスペクションのファイアウォールアプライアンスといっても、フラグメントされたパケットを再構成したうえできちんと検査できるものと、そうでなく素通りさせてしまうものの2タイプがある。前者の代表例が、ノキアIPシリーズである。というのも、チェック・ポイント・ソフトウェア・テクノロジーズとの提携に基いて搭載した「VPN-1/Firewall-1」により、完全なステートフル・インスペクションの検査を実現しているからだ。

　ファイアウォール製品に限った話ではないが、カタログ上のスペックを鵜呑みにすることはできない。このことを頭に入れ、できれば実機テストを行った上で導入するやり方がベストだろう。

　もう1つポイントとしてあげたい項目が、ファイアウォールそのものの信頼性だ。

　例えば、オフィスのセキュリティ向上のために、出入り口に警備員を配置したとしよう。仮に、彼が急病で倒れた場合にはどうしたらいいだろう？　現実には、こうしたトラブルが発生した場合には、警備会社が代替の警備員を手配し、同じように警備業務が継続されるはずだ。

　ファイアウォールにも同じことがいえる。障害発生時には、不正アクセスの危険性が高まるだけでなく、ネットワークの利用自体に支障が発生することさえある。したがって万一に備えてバックアップ機を用意し、冗長性を確保し、アベイラビリティを高める必要がある。

　ただ、アベイラビリティ向上の手法にもいろいろある。もっとも手軽なのはコールドスタンバイ。つまり、稼動中の機種と全く同じモノをもう1台用意しておき、トラブルの時には機器ごと入れ替えるというやり方だ。だがこれでは、通信が一定時間途切れてしまう事態は避けられない。ミッションクリティカルな通信が行われている環境では、到底受け入れられない方法だろう。

　そこで最近広まっているのが、アクティブ-パッシブ、あるいはアクティブ-アクティブのクラスタリング構成だ。複数の機器をクラスタ化し、1つの装置として機能させることにより、アベイラビリティの向上が期待できる。アクティブ-アクティブ構成をとれば、パフォーマンスのいっそうの向上と拡張性も実現される。

　ただここでもやはり注意が必要だ。クラスタ化にもいろいろあるのである。あるセッションの最中に、クラスタ内のファイアウォールの1つが停止したとしよう。ステート（状況）を共有していなければ、そのセッションは最初からやり直さなくてはならない。これでは、クラスタリングの恩恵をフルに活用できているとは言いがたい。

　ここはやはり、クラスタ内の各ノードでステート情報の共有が可能なファイアウォールを採用し、無停止のサービスを実現できるようにしておきたい。また、クラスタへのノード追加作業も、ノンディスラプティブ（無停止）で行えるものが望ましい。IPシリーズはVRRPに加え、独自のIPクラスタリング技術によってこれらすべての要件を満たしており、ユーザーは環境やリソースに応じて最適なやり方を選ぶことができる。

　このように、一般に言われるファイアウォール選択の基準と、現実の運用の間には、やや隔たりがある。企業を守る重要な要素の1つであるファイアウォールの選択においては、その隔たりを理解し、自社システムが求める要件を明確にした上で、じっくり比較するようにしたい。

　後半ではその具体的な活用例として、ローエンドからハイエンドまで取り揃えているノキアIPシリーズの詳細について紹介していきたい。（1月下旬UP予定）