NRIセキュアテクノロジーズ(以下、NRIセキュア)は8月7日、企業・組織が導入しているファイアウォールの設定に潜在する問題点を発見し、適切なセキュリティ対策の実施を支援する「ファイアウォールポリシー検査」を、正式にサービス化し、全ての顧客に対して提供を開始すると発表した。
本検査は、多くの金融機関に個別に提供してきたが、昨今のセキュリティ事件、事故の増加から、様々な企業・組織においてもセキュリティの要望が高まっていることから、より多くの顧客のニーズに応えるべく、正式なサービスメニューに加えた。
主な検査項目は、「実設定と設定資料の差異の確認:ファイアウォール機器に設定された内容と設定資料の内容を比較し、適切に設定資料が管理されているか」「ポリシー設定内容の確認:想定していないクライアントやサーバとの通信設定やプロトコル仕様に沿わない通信設定の有無、不要なポリシーの存在」「管理者設定の確認:不要なアクセス許可端末設定や過剰な管理権限設定」「監視設定の確認:監視用のサービス等から、過大な情報が露呈する可能性」。
検査は、ファイアウォールの設定ポリシーと、Configファイルを預かり、機器に設定されている内容と設定資料の内容を比較して、適切に設定資料が管理されているかを検査する。ネットワーク管理に精通したセキュリティコンサルタントが多角的な視点で実施することにより、通常のセキュリティ診断では発見できない、設定やポリシーに潜在する脆弱性を検出することができ、また、周辺のネットワークの状況から、設計時点では想定されていない侵入可能性等に関しても確認する。