2004年頃から登場した「Enterprise 2.0アプリケーション」は、従来型ファイアウォールでは守ることができず、企業に情報漏洩や不正侵入といったリスクをもたらすこととなった。だが、こうしたアプリケーションを適切に制御・可視化することで、リスクを防ぐとともにユーザーの利便性や生産性の向上を図ることができる。前回までに紹介した「アプリケーションがもたらすリスク」「アプリケーションの制御・可視化で得られるメリット」を踏まえ、今回は、具体的にアプリケーションを制御・可視化する方法を紹介したい。

ファイアウォールをすり抜けるモダンアプリケーション

パロアルトネットワークスの創業者でCTOを務めるニア・ズーク氏は、企業のIT担当者がアプリケーションの制御と可視化に取り組む際、「従来型ファイアウォール、UTM、次世代ファイアウォールのそれぞれのアーキテクチャの違いを押さえておく必要がある」と指摘する。

「従来のファイアウォールは、ポート番号を管理することで、メールやWeb、ファイル共有といったアプリケーションの制御・可視化を行っていた。だが、モダンアプリケーションはWebの通信に用いる80/443番ポートを利用することで、ファイアウォールをバイパスしてしまう。モダンアプリケーションに対して、従来型ファイアウォールはまったく意味がないのだ」

モダンアプリケーションは80/443番ポートを利用してファイアウォールをバイパスしてしまう

さらに、同氏は従来型ファイアウォールの欠点を補うように発展したUTM(統合脅威管理)についても、「根本的な解決策になっていない」と強調する。

「UTMは、ファイアウォールが備えていなかったURLフィルタリング機能、IPS(不正侵入防止) 機能、アンチウイルス機能、DLP(データ損失防止)などの機能を単にファイアウォールの上に載せたものでしかない。それぞれの機能が独自のエンジンを持つアーキテクチャであるため、ログが煩雑になり、パフォーマンスは大きく劣化する。パフォーマンスの劣化を防ぐために、一部の機能を無効にして運用するといった本末転倒なケースも見られる」

一方、同氏がゼロからフルスクラッチで開発したというパロアルトネットワークスの次世代ファ イアウォールは、ファイアウォールが備える1つのエンジンで、ファイアウォールを通過するす べてのトラフィックのアプリケーションを識別し、制御する仕組みだ。「従来型ファイアウォール やUTMとはアーキテクチャがまったく異なる、アプリケーションの制御と可視化を実現するファ イアウォール」(同氏)というわけだ。

ゼロから開発したアーキテクチャの強み

パロアルトネットワークス 技術本部長 乙部幸一朗氏

次世代ファイアウォールと既存UTMの違いについて、パロアルトネットワークスで技術本部長を務める乙部幸一朗氏はこう解説する。

「アーキテクチャが根本的に異なることから、パフォーマンスやアプリケーションを識別する機能、ログの管理性などの面で大きな差が出る。パフォーマンスを例にとれば、従来型UTM製品でアンチウイルスやIPSなどの複数のコンテンツセキュリティ機能を同時に有効にした場合、パフォーマンスが7~9割落ちるという調査結果がある」

具体的には、同社の次世代ファイアウォール製品でIPSとアンチウイルスの両方の機能を有効にした場合でも、パフォーマンス低下はカタログスペック値からマイナス20%以内でとどまるところ、他社のUTM製品ではA社製品はマイナス76%、B社製品はマイナス91%、C社に至っては、マイナス98%となるという。

パロアルトの次世代ファイアウォールと従来のファイアウォールのパフォーマンスの比較

これほどの差をもたらしているのは、次世代ファイアウォールがシステム内に完全統合している高速スキャニングエンジンの「Content-ID」と、すべてのトラフィックのアプリケーションを自動的に識別する「App-ID」というアプリケーション識別エンジンだ。

Content-IDは、1つのエンジンで「情報漏洩対策」「脅威防御」「Webフィルタリング」という3つのコンテンツセキュリティ機能を提供するもの。ファイルタイプやデータのパターン、脆弱性攻撃、ウイルス/スパイウェア、URLを同時にスキャニングし、ポリシーを適用する。このため、それぞれの機能をスキャンする従来型ファイアウォールやUTMと比較して、高速で安定したパフォーマンスが得られるというわけだ。最近、市場では「次世代ファイアウォール」とうたっている製品が増えているが、実際は複数のエンジンをファイアウォールの上に追加搭載しただけのUTMであることが多いので注意が必要だ。

1つのエンジンで3つのコンテンツセキュリティ提供する「Content-ID」

一方、App-IDは、アプリケーションの識別のみならず、機能ごとに動作を制御できることが大きな特徴だ。ヘッダのほか、データ部分まで見てアプリケーションを識別。SSL通信が行われていれば自動的に復号してプロトコルを判別し、アプリケーションのシグネチャとのマッチングでアプリケーションを特定する。ニコニコ動画や2ちゃんねるといった国内のサービスを含めて1,300種類以上のアプリケーションに対応するほか、カスタムシグネチャにも対応する。

すべてのアプリケーションを自動識別する「App-ID」

使いやすい管理画面によりユーザーニーズを満たす

さらに、アプリケーションの可視化という点で見逃せないのが、ACC(Application Command Center)と呼ばれる管理画面の操作性の高さだ。

ACCでは、利用が多いアプリケーションのセッション数、転送量、脅威などがリアルタイムでランキング表示される。アプリケーション名をクリックすると、アプリケーションの詳細情報を見ることができ、送信元のランキングには対象アプリケーションの利用者のIPアドレスやActive Directoryなどから自動取得されたユーザー名が確認できる。さらにユーザー名をクリックすると、そのユーザーがよく利用しているアプリケーションのランキングなどが表示される仕組みだ。

ACCの管理画面

乙部氏は、「このようにユーザーのアプリケーションの利用動向が手に取るようにわかるため、情報漏洩や不正侵入といったリスクへの対応のほか、ユーザーへの注意喚起、ニーズに応じたアプリケーション機能の許可といった生産性向上への施策が打ちやすくなる」と話す。

またマーケティング部長の菅原継顕氏は、国内ユーザー企業からの実際の評価として、「いざという時にアプリケーションを制御できる仕組みがあるからこそ、IT部門は自由な環境をユーザーに提供することができる」という声を紹介する。

「多くの企業のIT担当者は、Enterprise 2.0アプリケーションがもたらすリスクを懸念し始めている。一方、エンドユーザーも、これら利便性の高いアプリケーションを社内で気兼ねなく利用したいと望んでいる。次世代ファイアウォールは、こうした両者のニーズを同時に満たすものでもある」(菅原氏)

「ソーシャル」という言葉に代表されるように、Enterprise 2.0アプリケーションが企業情報システムのあり方を大きく変えていくことは間違いない。リスクと利便性を両立させる、新たな企業システムの形を探るうえで、次世代ファイアウォールは欠かせないソリューションの1つと言えるだろう。