 |
【特集】
ファイアウォールのリモート・マネジメントの機能と運用
〜マネージド・ファイアウォールの考察〜
丸山 龍一郎
ストーンソフト・ジャパン
ネットワークセキュリティーマネージャー
2002/3/23
| マネジメントシステムに求められる機能 |
ここからは、リモートマネジメント環境において必要とされるマネジメントシステム側の機能について考察する。
リモートマネジメントの形態としては、組織内に閉じたリモート管理環境と組織間にまたがるリモート管理環境がある。前者の例は、企業が東京、大阪にインターネットへのアクセスポイントを持っている場合に、両方のアクセスポイントのファイアウォールの管理を東京から実施するといった形態である。また、後者は、MSPが企業Aと企業Bといったまったく異なった組織のファイアウォールを管理する形態である。
このようなマネジメント環境では、1台のマネジメントシステムが複数のリモートファイアウォールを管理する。また、管理業務を担当するオペレーションも複数のメンバから構成される。そのため、どの管理者がどのファイアウォールを管理することができるのかという役割分担と、その役割に対応する権限を決めるという考えが必要である。
●役割りと権限
現在マーケットにあるファイアウォールの多くは、管理者を2種類の役割(ロール)に割り当てる機能を持つものが多い。つまり、参照/定義(Read/Write)が可能な管理者と参照のみ(Read Only)が可能な管理者である。
従って、現在のマネジメントシステムの機能では、参照/定義が可能な管理者はそのマネジメントシステム上に存在するすべてのオブジェクトやポリシーにアクセスすることが可能である。これは、セキュリティ上の大きな問題であり、現状の機能では、先に述べたリモートマネジメント環境には対応できない(特にMSP環境では、1人の管理者がすべての顧客の情報を参照できてしまう)。
特にMSP環境では実際の管理業務においても、ある管理者が担当するファイアウォール(顧客)の割り振り(役割)やそのファイアウォールに対して操作できる範囲(権限)を決めて運用している。従って、そのような日常業務の運用体系に合致するような仕組みがマネジメントシステムの機能として必要とされる。
 |
| 図3 管理体制と管理者権限のアサイン |
図の管理体制にそれぞれ必要となる管理者権限を割当てると最低でも下記のような役割が必要となる。
|
管理者
|
権限
|
|
スーパーバイザー
|
すべての権限を有する。管理者アカウントの作成や権限をほかの管理者に委任することができる。 |
|
マネージャー
|
スーパーバイザーにより管理を委任されたファイアウォールのオブジェクト定義やセキュリティポリシーの設計を行う。 |
|
オペレータ
|
スーパーバイザーにより管理を委任されたファイアウォールのセキュリティポリシーをインストールする。さらに、ログ情報の参照が可能。 |
●与えられた権限に応じたマネジメントビュー
次に検討すべき点は、与えられたアクセス権限に応じてマネジメントシステムがどのようなアクセス制御を実現するかである。
例えば、A社とB社のファイアウォールを運用管理する環境を考えると、A社のファイアウォールの設定内容には、A社の業務システムのIPアドレスやアクセスするためのユーザー情報など機密情報が含まれる。また、ログ情報にはA社のファイアウォールではどのようなアクセス制御を行っているかなどの情報が読み取れる。もし、B社を担当する管理者がA社に関連する情報にアクセスする(この場合は、READ Onlyも含む)ことが可能であれば、それはセキュリティ上問題である。
マネジメントシステムで管理されるオブジェクトは、すべてのファイアウォールで共有されるものとファイアウォールに特化したものがある。
|
オブジェクト
|
種類
|
|
共有オブジェクト
|
マネジメントサーバオブジェクト、ログサーバオブジェクト、認証サーバなど、ルールベースのテンプレート。 |
|
固有オブジェクト
|
ファイアウォールオブジェクト、VPNオブジェクト、ポリシー、ユーザーなど。 |
先の例で示した問題を解決するためには、管理用インターフェイスにログインしたアカウントが持つ権限に応じて、上記のオブジェクトに対するアクセスを制限する機能が必要である。実際には、利用できないメニューは無効(表示上はグレイアウト)にしたり、ログ情報に関しても担当するファイアウォール以外の情報をフィルタして表示するような機能が必要である。
例えば、以下のオブジェクトに関しては特定のファイアウォールを担当する管理者のみが参照できる。
- ファイアウォールオブジェクトのプロパティ(アドレスやルーティング情報など)
- 関連するオブジェクトのプロパティ(セキュリティサーバや外部認証サーバ、ルータなど)
- セキュリティポリシー(アクセスルール)
- ユーザー情報(ファイアウォール内で管理されているユーザー情報)
- ログ情報
- ファイアウォールに対するオペレーション(起動/停止、ポリシーのインストールなど)
しかし、複数の組織をまたがるVPNを構成するような環境では、双方のVPNのエンドポイントとなるファイアウォールのオブジェクトを参照する必要があるため、スーパーバイザによってその管理者に複数のファイアウォールを管理できる権限を与えることになる(実際は、相手側のファイアウォールに対するアクセス権限をどこまで許可するかなど問題や実現方式の制限などから難しいと思われる)。
結論をいえば、マネジメントシステムに関しては、必要のないものは、見せない、触らせないということを実現するということである。
●監査(Audit)機能
マネジメントシステムは、特定の権限を持った複数の管理者が利用してファイアウォールを管理している。 従って、ある管理者が、いつ、どのファイアウォールに対して、どのような操作を したのか、を後で参照できるような監査機能が必要である。
例えば、セキュリティポリシーの変更やインストール、ログ情報の削除など イベントに関する監査記録があれば操作ミスの早期発見と原因の所在、さらには内部不正に対する備えにもなる。
| リモートマネジメントソリューションへの期待 |
今回は、ファイアウォールの運用管理面、特にリモートマネジメントについて記述してきたが、最後に、リモートマネジメント環境を構成する2つのコンポーネントに求められる機能について、また環境の運用面について総括する。
●期待されるリモートファイアウォール機能
- 柔軟なロギング機能
- ログ取得のプライオリティ付け
ログ転送時のフィルタリング
ログ転送不可時のファイアウォールロギングの動作定義
ログ転送復旧時の転送方法(転送単位)の定義
- 管理インターフェイスからの一貫したコンフィグレーション
ファイアウォールの設定がすべて管理インターフェイスからできること
- リモートからのソフトウェア更新
- リモートからのバックアップ/リストア
- クラスタリング構成
●期待されるマネジメントシステム機能
- 実管理業務に沿った役割とアクセス権限の定義
- アクセス権限に応じたオブジェクトの表示
- ファイアウォールのバックアップ内容のバージョン管理
- オペレーション監査機能
●運用面の注意点
- ファイアウォールエンジンのクラスタリング構成
ファイアウォールに対するメンテナンス作業自体が、顧客のサービスのアベイラビリティに影響を与えないようにクラスタ構成で実現する必要がある。
- マネジメントシステムの可用性を実現
マネジメントシステムが管理する情報は、リモートのすべてのファイアウォールの構成情報やユーザー情報、ログ情報などを含んでいる。大規模なシステムでは、それらはすべてデータベース上で管理されることになる。逆をいえば、マネジメントシステムに障害が発生するとすべてのファイアウォールの監視および管理作業が滞ってしまうリスクがある。従って、マネジメントシステムこそより可用性を考慮したシステムとして実現する必要がある。1つには、一般のデータベースと同様クラスタリング構成をとる。また、定期的なデータベースのバックアップ作業を行うなどしてデータの保守に努めることが必要である。
- 最悪の事態を想定した運用管理体制
リモートマネジメントは管理用ネットワークが正常であるということが大前提となる。ネットワーク環境が100%動作する保証がないこと認識しておく必要がある。ネットワークが問題で管理対象のファイアウォールに接続できなくなることを想定して、カスタマー側にファイアウォールの管理ができるエンジニアをアサインして、電話等の既存のインフラを利用して対応するようなバックアップ方法を運用開始時から用意しておくこともサービスプロバイダには必要となる。
現在のマーケットの製品にはこのすべての機能を実現できるソリューションはまだ存在しない。しかし、部分的に対応している製品もある。例えば、NetScreen のマルチポリシーやStoneGateのログフィルタリング機能などである。現在は、各ベンダともエンタープライズ環境のマネジメントソリューションの提供を本格的に開始し始めている段階であるのでぜひ今後提供されるソリューションに期待したいところである。
 |
|
||||
|
||||
| 関連記事 | |
| 特集:ファイアウォール機能の現状と将来 (前編) | |
| 特集:ファイアウォール機能の現状と将来 (後編) |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
