あなたの組織のファイアウォールには脆弱性はないだろうか。NETWORKWORLDに「ファイアウォール管理のベストプラクティス ベスト5(原題: Top 5 best practices for firewall administrators)」という記事が載っているので紹介しよう。

第1位: ファイアウォールのルールの修正をすべて記録する

ファイアウォールは変更管理機能を持たないので、多くの組織ではルールの修正を記録していない。緊急事態への対応のため急いで修正したルールが、実はポリシーに違反しており、事故に至るとというケースはよく起こっている。

ファイアウォール管理製品は、ダッシュボードを備えており、ルールが可視化されるので、チームで変更履歴を共有できて便利だ。

第2位: すべてのアクセスルールを最小権限にする

過度に寛大なルールがもう1つのセキュリティ上の問題だ。業務がやりやすいからと、必要以上の穴をファイアウォールに開けてはいけない。開けた穴は攻撃にも使われるのだから。

第3位: ファイアウォールのポリシー変更が、コンプライアンスポリシーおよび変更要求に合致することを確認する

ファイアウォールのポリシーを変更するときに忘れがちなのが、ファイアウォールはコーポレートのセキュリティポリシーの実現手段であるということだ。ファイアウォールのポリシーの変更が、コーポレートのセキュリティポリシーの条文のみならず、精神や意図にも合致することを確認しよう。

第4位: サービスが廃止されたら、ファイアウォールのルールベースから使われないルールを削除する

たいていのファイアウォールの運用者はルールを削除するというルーチンを持たない。利用者は新しいルールが必要であることは知らせるが、不要になったことを知らせることはないからだ。まずはサーバやネットワークの廃止について情報を集めることから始めよう。次に、使われないルールについてのレポートを作ろう。

第5位: 6カ月おきに徹底的なファイアウォールのレビューをする

クレジットカードを扱う店ならばこれはMUSTだ。PCI DSSの要件1.1.6ではルールセットの半年レビューが定められている。

ルールベースのメンテナンスのために、レビューはすべきだ。コーポレートのポリシーやコンプライアンスの標準は変わるので、これらに準拠させよう。また、冗長なルールを新しいルールと置き換えたり、使われないルールを削除したり、一時的に許可した例外ルールで今は必要のないものを削除したりしよう。