次世代ファイアウォールの成功事例を紹介

NECネッツエスアイのネットワークソリューション事業部 第六ICT・SI部の中村雄二氏

続いて、NECネッツエスアイの中村氏が「次世代ファイアウォールによるセキュリティ強化の成功例」と題し、PAシリーズが実際にどのように利用され、効果を上げているかを解説した。

1つ目の事例として挙げられたのは、クライアントPCにP2Pソフトなどを不正にインストールされてしまい、管理者が十分に対応できないといったケースだ。

例えば、A大学では、生徒が大学内のPCにP2Pソフトをインストールし、音楽や映画などをファイルを共有していたことが発覚したという。だが、学生が利用するPCには、学校支給でないものも含まれるため、ソフトの不正インストールを止めることが難しかった。また、B社では、会社支給のPCについてはソフトの不正インストールができないような対策を施していたが、ソフトウェア開発部門では、MacやLinuxなどの様々な環境が混在し、クライアント端末も会社支給でないものが多く、情報システム部門が制御し切れていなかったという。

「A大学やB社では、ファイアウォールに加えて、URLフィルタリング、IPSなどで制御していたが、P2Pソフトはそれらをすり抜けるかたちで利用されていた。管理者側では、すり抜けたソフトがなんであったのかを把握できず、また、持ち込まれたクライアントPCを制御することも難しかった」(中村氏)

このような「端末制御の限界」とも言うべき事例に対して、PAシリーズは特に大きな効果を発揮するのだという。実際、PAシリーズを利用することで、「どんなアプリケーションが誰によって、いつどのように使われているか」が管理者にはっきりと分かるようになった。管理者は、管理画面から不正なアプリケーションを見つけてブロックしたり、必要に応じて、利用できる機能を制限(例えば「アクセスは可能だが、ダウンロードはできない」など)できるようになった。また、持ち込みPCに対しても、エージェントなどを追加することもなく、そのまま監視対象としてアプリケーションを管理できるようになった。

2つ目の事例としては、既設ファイアウォールのリプレースを行ったC社が紹介された。C社では、ProxyサーバとURLフィルタリング装置を用いて、ネットワークの制御を行っていた。また、事業本部が2つに分かれており、ファイアウォールが別々に管理されていた。リプレースにあたっては、震災後にニーズが増している在宅勤務に対応できるようにすること、ファイアウォールのログがIPアドレスだけでわかりにくいことに対応すること、現状UTMで行っているアンチウイルスのパフォーマンスを向上させることなども求められた。

中村氏は、こうしたC社に要望に対して「PAシリーズが持つ機能をフル活用して対応した」と説明。具体的には、まず、ProxyサーバとURLフィルタリングについては、「動的なWebが増えるにつれ、Proxyサーバのキャッシュヒット率は10~20%にすぎなくなっていること」を提案し、PAシリーズが備えるファイアウォールとURLフィルタリングで対応した。

また、在宅勤務については、ActiveDirectory(AD)と連携したPAシリーズのSSL-VPN機能で実現。事業部ごとに分かれたファイアウォールについては、PAシリーズ1台で論理的に異なるネットワーク環境を構築できるV-sys機能を使って、事業部ごとに異なるセキュリティーログの取得、セキュリティーポリシーの運用を実現した。さらに、ログがIPアドレスだけで見にくいことについては、ADからユーザー名を自動取得する機能を使い、アンチウイルスについては、パフォーマンス劣化が少ないPAシリーズのアンチウイルス機能を使い、それぞれ実現したという。

そのうえで、中村氏は、PAシリーズの管理画面と操作方法をデモで披露し、アプリケーションの可視化と制御の実践例を紹介。最後に、「既存のファイアウォールやUTMが役に立たなくなっている。ネットワークセキュリティの"今"を理解し、ムダのない的確なセキュリティ投資を行っていただきたい」と提案した。