ネットワークにアクセス制御を実装した機能を、本解説では「ファイアウォール」「アプリケーションファイアウォール」と呼びます。
これらはあくまでも「機能の名前」であり、セキュリティベンダーが定義している製品カテゴリや製品名とは必ずしも一致しない点に注意してください。例えばファイアウォール機能だけに限ってみても、ルーターや統合脅威管理(UTM)製品、侵入防止システム(IPS)製品など、さまざまな製品に実装されています。ここでは、上記の2機能に絞って解説します。
「ファイアウォール」「アプリケーションファイアウォール」機能は、ネットワークを「インターネット接続領域」「DMZ(非武装)領域」「内部ネットワーク領域」などのセキュリティポリシーの違う領域に区切り、その間の通信をアクセス制御により制限するものです。
両者の違いは、アクセス制御を実施する“対象レイヤー”の違いです。ファイアウォール機能が、通信機能のOSI参照モデルのうち、主に「ネットワーク層(L3/レイヤー3)」から「トランスポート層(L4)」までを制御対象としてIPアドレスやポート番号を用いたアクセス制御を行うのに対して、アプリケーションファイアウォール機能は、「アプリケーション層(L7)」までを制御の対象とします。
アプリケーションファイアウォールを使うと、例えば、アクセス先のWebサイトのサービスの内容を基にアクセス可否を判断するなど、より細かな単位でのアクセス制御を実施できます。
従来のファイアウォール機能では、アプリケーションやWebアプリケーションの通信の“内容”に基づいたアクセス制御は行えませんでした。それに対して、通信パケットの中身までを見ることでファイアウォール機能の欠点を解消したのが、アプリケーションファイアウォール機能というわけです。ゆえに、この機能は「次世代ファイアウォール(NGFW)」あるいは「L7ファイアウォール(L7FW)」などと呼ばれることもあります。
実際の製品では、ファイアウォール機能単体の製品は少なく、両方の機能を備えているのが一般的です。また、「侵入防止システム(IPS)」機能などを併せ持っている製品もあります。そのため、個々のネットワーク製品によりアクセス制御の範囲は異なります。実際にベンダーが提供しているファイアウォール製品については、以下の記事にまとまっています。
それでは最後に、ネットワークにおけるアクセス制御の仕組みが、具体的にどのような攻撃を防いでいるのかを見ていきましょう。
弊社の監視センターで各組織の通信を見ていると、多くのサーバは、インターネットに接続しているだけで日々さまざまな攻撃を受けているのが分かります。例えば、IPアドレスを変えながら「ICMP echo」メッセージや「TCPポートノック」などの手法で稼働しているサーバを探す「水平スキャン」、特定のサーバの開いているポートを探す「垂直スキャン」、Webサーバにおけるアプリケーションの脆弱(ぜいじゃく)性やSQLインジェクションを探そうとするスキャン、SSHに対するブルートフォースを用いたログイン攻撃など、攻撃としては“ジャブ”程度の軽いものが多いとはいえ、もはや“手当たり次第”といった具合で、相当な数の攻撃が行われています。
これらの攻撃によるリスクを「回避」「軽減」しているのがファイアウォールやアプリケーションファイアウォールです。インターネットからWeb管理画面へのアクセスを拒否したり、そもそも不要なサーバへのアクセスを拒否したりすることで、インターネットに対してサーバを露出させず、直接的な経路での攻撃をできなくします。また、拒否した通信のログを侵入検知システム(IDS)などの他のセキュリティ製品のログと突き合わせて調査することで、攻撃を受けた際の判断がしやすくなります。
このように、アクセス制御はネットワーク設計において基本となりますので、しっかりと意識して活用してください。次回は、「サーバや端末におけるアクセス制御」について解説します。
▼ 若居 和直(わかい かずなお)
小学生の頃よりプログラミングをはじめる。高校生でカスケードウイルス、大学でCERN httpdのphfの脆弱性をついた侵入の洗礼を受け、小規模ISPのアルバイトでネットワークについて学んだ後、大学院でセキュリティについて研究する。
ラック入社後は、JSOC監視サービスの初代セキュリティアナリストとなる。IPAの脆弱性関連情報届出制度や、情報セキュリティ白書の初期に参画、セキュリティコンサルティングやネットワークフォレンジックを使ったセキュリティ診断を経て、現在は研究部門に所属。積み上げてきた幅広い技術的視野を生かし、ビジネス化を見据えた研究に従事している。
著書に「萌え萌えうにっくす! UNIXネットワーク管理ガイド」
Copyright © ITmedia, Inc. All Rights Reserved.