いまや90%以上の企業に導入されているファイアウォール。一般的には企業のセキュリティポリシーに従って、外部からの不要な通信をブロックするというイメージが強い。しかし、ファイアウォールのログにはそれ以外にもさまざまな利用方法がある
一般的にファイアウォールはインターネットと企業ネットワークの境界に設置されます。ファイアウォールの基本的な機能は、企業の定めたセキュリティポリシー(アクセスルール)に従ってパケットをフィルタリングすることです。ほとんどのファイアウォールでは、アクセスルールに合致する通信があった場合、ログとして記録するように設定できます。
今回は以下の図のように構成されたファイアウォールのログについて考察してみます。おそらくほとんどの企業ではこのような構成を取っているのではないでしょうか。
ファイアウォールは、その目的から、どうしても防衛面のみが注目されがちです。しかし、ファイアウォールのログは、企業と外部とのあらゆるやり取りを映し出すものでもあるのです。企業内ネットワークからインターネット、インターネットから企業内ネットワークへ、というすべての通信は必ずファイアウォールを経由し、ログとして記録されるからです。従って、ファイアウォールのログを特定の切り口から一定期間集計することによって、その企業におけるインターネット利用の特徴を把握することができます。
ここでは、企業全体としてどのようなプロトコルがどの程度利用されているかを調べてみることにします。分析に当たって、ファイアウォールのログからプロトコルを軸に取って集計します。自分でプログラムを作成することも考えられますが、商用製品を利用すると簡単に分析することができます。今回は、NetIQ社のSecurityReportingCenter(http://www.netiq.co.jp)というレポーティングツールを使用して分析してみます。
このレポートを見ると、1月13日(土曜日)や1月14日(日曜日)といった休日にWebアクセスやメールアクセス、RealAudioのアクセスのピークが来ていることが分かります。通常の企業であれば土日は休日のはずですので、会社の資産を使ってWebサーフィンなどを行っているという可能性も考えられます。
また上記のレポートは時間帯別に通信量を集計したレポートです。インターネットを利用している時間帯としては午前10時から午後2時の間であることが確認できます。またお昼休みの時間帯や午後4時から午後6時の間にもかなりのアクセスが見られることから、こういった時間帯にプライベートな利用がかなりあることが予想できます。
このような分析結果を参考に、将来の需要予測を立て、情報システムのリプレイスやインターネット回線の増強計画、オフピーク時のメンテナンス時間帯の確保などに活用することができます。
Copyright © ITmedia, Inc. All Rights Reserved.