昨今、企業ではSNSやSkype、動画サイトの利用が拡大しており、「Enterprise 2.0アプリケーション」のためのセキュリティ対策を打つことが火急の課題となっている。その具体的な製品として注目を集めているのが「次世代ファイアウォール」だ。ただ、次世代ファイアウォールは新しいジャンルの製品のため、ベンダーによって機能差が大きい。ここでは、パロアルトネットワークスの次世代ファイアウォールの特徴に迫ってみたい。
もはや従来のファイアウォールは役に立たない
「Enterprise 2.0アプリケーションの利用が広まるなか、従来型のファイアウォールは機能しなくなっている。それは、ファイアウォールではHTTP通信のために80番や443番ポートを開ける必要があるが、そこを経由してほとんどのアプリケーションが動作してしまうからだ」
そう語るのは、パロアルトネットワークスでマーケティング部長を務める菅原継顕氏だ。パロアルトネットワークスは、次世代ファイアウォール「PAシリーズ」を展開する米国のセキュリティ専業ベンダー。2009年4月に日本法人を設立し、以降、年率3ケタの伸びで急成長を遂げている注目企業だ。Enterprise 2.0アプリケーションとは、ビジネスを目的に利用されるファイル共有ツール、SNS、ブログ、コラボレーションツールなどのソーシャルソフトウェアを指す。
菅原氏がいう「従来型のファイアウォール」は、TCP/UDPのポートを開閉して通信を制御するタイプのものを意味する。いわゆるファイアウォール製品のほとんどがこれに該当する。かつてのように、Webサイトが静的なページで構成されていた時代は、こうしたファイアウォールでHTTP(s)が使用するポート以外を閉じておけば、社内環境に悪影響を及ぼすようなセキュリティリスクの侵入を防ぐことができた。
だが現在は、Webサイト上で何でもできてしまう時代だ。外部のEnterprise 2.0アプリケーションを使えば、社内の一般ユーザーでも、社外のブログやSNSへの書き込み、メール送受信、チャット、ファイル共有、動画閲覧など、簡単にできてしまう。もちろん、社内へのセキュリティリスクもそれらを通じて侵入してくる。つまり、ファイアウォールでhttp(s)以外のポートを閉じる意味がもはやなくなってしまっているということだ。
「そこで、セキュリティ対策として必要になるのがアプリケーションの可視化。ファイアウォールを通過するアプリケーションが何で、それが誰によってどう動作させられているか。それを把握し、適切に制御することで、セキュリティリスクを最小限に抑えることが求められるようになっている」(菅原氏)
アーキテクチャに限界がある既存のUTM
アプリケーションを可視化する機能は、UTM(統合脅威管理)製品でも提供されている。だが菅原氏によると、それらUTM製品は、従来型のファイアウォールにURLフィルタリングや不正侵入防御(IDS/IPS)、ウイルス対策ソフト、アプリケーション監視などの機能を組み合わせて構成されたものであることが多く、アーキテクチャに「限界」があるという。
そもそも、ファイアウォールが担ってきた役割の1つは、アプリケーションの可視化と制御にあると言える。メール、データ転送、ファイル共有などをTCP/UDPのポートごとに監視し、そのログをもとにアプリケーションの挙動を制御する。だが、「現行のUTM製品の多くは、こうしたファイアウォールが本来担うべき役割をファイアウォールの機能として持たせず、別の機能で代替させることが多い。結果として、アプリケーションの可視化そのものができていないか、できたとしてもパフォーマンスや品質が犠牲になりやすい」(菅原氏)のだ。
パロアルトネットワークスが同社のファイアウォール製品で「次世代」をうたう理由もここにある。同社の創業者でCTOを務めるニア・ズーク氏は、ジュニパーネットワークスでCTOを務めていた人物だ。同氏はジュニパーネットワークスで従来型ファイアウォールの課題を解決するための製品開発を提案したが、受け入れられなかったことから、独立してパロアルトネットワークスを立ち上げたという経緯を持つ。
パロアルトネットワークスのPAシリーズは、「ファイアウォールが本来の役割を遂行できるように、新しいアーキテクチャを採用した、従来型のファイアウォールでもUTM製品でもない「次世代」ファイアウォール製品」(菅原氏)なのである。
社外アプリケーションを管理する必要性
では、パロアルトネットワークスの製品は具体的にどのような点が新しいのか? PAシリーズの販売パートナーであるNECネッツエスアイの中村雄二氏(ネットワークサービス事業本部ネットワークソリューション事業部第六ICT・SI部主任)はこう話す。
「特徴はファイアウォール自身がすべてのネットワークトラフィックを監視できるエンジンを備えていること。このエンジンで、アプリケーション、ユーザー、コンテンツなどを可視化し、ポリシーにしたがって制御できるようになっている。既存のUTM製品の多くが、機能ごとにトラフィックを見て処理していくのに比べると、パフォーマンスと品質は段違いに優れている」
可視化できるアプリケーションとして、Gmail、Salesforce.com、SAP、Skype、YouTube、BitTorrentなどのほか、2ちゃんねる、宅ファイル便、mixi、アメーバブログ、ニコニコ動画といった国内のサービスにも対応する。また、そうしたアプリケーションをブロックするだけでなく、アプリケーションごとに閲覧だけを許可したり、書き込みだけを許可したりといった柔軟な運用も可能になっている。
中村氏によると、近年、ユーザー企業の間では、「社外アプリケーションがどのくらいの頻度で利用されているのかを確認したい」という声が特に強まっているという。PAシリーズをユーザーの拠点に設置して、実際にどのようなアプリケーションが使われているかを報告するAVR(リスク分析レポート)というサービスを無料で提供しているが、そのレポート結果が導入の決め手になるケースも少なくない。
クラウドに代表されるように、企業では外部アプリケーションの利用が一般化しつつある。また、一般ユーザーが社外のアプリケーションを不用意に利用することで、企業の信頼性を低下させる事案に発展するケースも多数報告されている。そうしたなか、企業はどのような観点から社内セキュリティを確保していくことが求められるのか?
毎日コミュニケーションズが6月22日に開催する「2011Webセキュリティセミナー」では、パロアルトネットワークスの菅原氏とNECネッツエスアイの中村氏が「こうすればうまくいく 次世代ファイアウォール導入の成功例と失敗例」と題した講演を行う予定だ。講演では、PAシリーズの特徴や機能をはじめとして、導入事例に基づいた失敗例、成功例が詳しく紹介される。
次世代ファイアウォールによるアプリケーションの可視化は、企業のセキュリティにどのような効果をもたらすのか。急速に導入事例を増やしている注目の製品だけに、自分の目で直接確認していただきたい。