社内システムにおけるセキュリティ技術の基礎をおさらいする本連載。第6回では、内部ネットワークにおいて、ポリシーに合致しないアクセスを防止する技術を紹介します。
本連載の第1回で、「境界領域」における不必要なアクセスの検知・防止に関する技術を紹介しました。今回は「内部ネットワーク」で、ポリシーに合致しないアクセスを防止する技術について解説します。
組織で体系的なアクセス制御を行うためには、一定の基準でポリシーを定め、そのポリシーに従って実際の現場でアクセス制御を行う必要があります。具体的には、図1に示すように、外部(または内部)から内部(または外部)へのポリシーに合致しない通信を拒否して、ポリシーに合致する通信のみを許可します。特に、一部のセキュリティ機能では、ポリシーの要件が複雑になるために、専用の機能を用いて対応します。
今回は、ポリシーに沿ったアクセス制御を実装した機能の例として、「プロキシサーバ」と「コンテンツフィルター」を取り上げます。
アクセスしようとする通信元とアクセスする通信先の間に設置され、通信元の代理人として各種の動作を行うのが、「プロキシサーバ」です。大規模なネットワークでは必須となる機能であり、特にアクセス制御を実施する重要な部分となります。
通信元から見ると、プロキシサーバが唯一のアクセス先となり、通信元から通信先への通信は全てプロキシサーバを経由します。このように通信元からのアクセスをプロキシサーバに集約することで、ポリシーに沿ったアクセス制御を行うことが可能となり、ポリシーに合致した通信のみを通信先に送ることができます。
具体的には、プロキシサーバを利用することで、組織のポリシーで許可されていないユーザーからのアクセスを防止したり、業務上必要としないサービスの利用を禁止したい場合などに、ネットワークに接続する条件によってアクセスの許可や拒否を判断したりすることが可能になります。
プロキシサーバの機能を実装した製品には、アカウント統合管理機能と連動して、プロキシサーバ上でユーザー認証してアクセス制御を行うセキュリティ機能の他に、トラフィック削減のためのキャッシュ機能を備えています。また、後述するコンテンツフィルターと組み合わせた製品も見受けられます。
サイトに特化して、ポリシーに沿ったアクセス制御を実装した機能が「コンテンツフィルター」です。組織内部から既知の悪意のあるサイトへのアクセスを防止することや、組織のポリシーによりアクセス可能なサイトを制限するときに必要な機能となります。
コンテンツフィルターは、通信元と通信先でやりとりされる通信の内容を検査します。通信先のURLや通信先から送られてくるコンテンツに含まれるキーワードおよびコンテンツの属性から判断して、ポリシーに合致した通信のみを許可し、それ以外の通信を拒否します。
コンテンツフィルターを利用し、悪意のあるサイトへのアクセスを拒否することで、「水飲み場型攻撃」などによる悪意のあるサイトへのアクセスや既知のマルウェアのダウンロードといった脅威が軽減されます。
コンテンツフィルターの機能を実装したソフトウェア製品は、多くの場合Webサイトを対象として、プロキシサーバの機能の1つとして組み込まれて利用されます。また、個人の利用者向けには、エンドポイントのブラウザで実現する機能や、プロバイダーによるサービスなども提供されています。
最後に、ポリシーに沿わないアクセスの防止によって、どのような攻撃を防いでいるか説明します。
標的型攻撃の主な感染経路の1つに、悪意のある攻撃コードが含まれたサイトへのアクセスがあります。組織内からそのようなサイトにアクセスした場合、既知の攻撃コードであれば、コンテンツフィルターが通信を中断することで、アクセス元への被害を防止でき、感染の脅威を軽減できます。
また、内部の端末がマルウェアに感染した場合、マルウェアは情報や指令の受け渡しのために外部と通信を行います。このとき、プロキシサーバの認証機能によって、認証情報の分からないマルウェアからのアクセスが拒否されれば、情報漏えいの被害を軽減できる可能性があります。
このように、ポリシー違反となるアクセスからの防御は欠かせませんが、こうした機能も多層防御の1つにすぎないことを認識しておく必要があります。内部ネットワークでのアクセス制御と併せて、境界領域やエンドポイントのセキュリティ対策を施し、組織全体のセキュリティを確保することが重要です。
Copyright © ITmedia, Inc. All Rights Reserved.