ファイアウォールはインターネットアクセスのセキュリティを確保し、ミッションクリティカルな情報を保護し、インターネットを活用してグローバル企業を繋ぐ役割を果たしますが、セキュリティ要塞を構築するための出発点に過ぎません。既存のファイアウォールで十分だと考えている組織もあるかもしれませんが、VPNなど、次なる接続性確保のためのツールがさらに必要であることにすぐに気づくでしょう。
TechRepublicが最近実施した調査によると、企業セキュリティを完全に確保している組織はごくわずかです。調査対象となった127社のうち、46%が現在のファイアウォール技術に満足しているものの、改善を計画していると回答しました。一方、約10%は現在のファイアウォール技術に不満を抱いています。最も驚くべき、そして少し恐ろしいのは、4%の組織がまだファイアウォールを導入していないことです。
ファイアウォールを改良、交換、または新規インストールする場合でも、ファイアウォールに関する知識を再確認し、セキュリティ ポリシーの開発など、セキュリティをさらに強化する前に実行する必要がある重要な手順を理解するのに良い機会です。
ファイアウォールに関する誤った認識
よくある誤解として、1つのファイアウォールですべての資産を保護できるというものがあります。これは数年前までは真実だったかもしれませんが、ハッキング技術の進歩と外部からの脅威の増加を考えると、それだけでは十分な保護とは言えません。
ソフトウェア エンジニアリング協会の CERT コーディネーション センター (CERT/CC) によると、報告されたネットワーク セキュリティ インシデントの数は過去 2 年間でほぼ 3 倍になり、2000 年の 21,756 件から 2002 年第 3 四半期末の 73,359 件に増加しました。
2つ目の誤解は、ファイアウォールデバイスは「接続して電源を入れたら、あとは放っておけばいい」というものです。実際には、継続的な見直し、微調整、そして評価を必要とする技術です。
さらに、多くの組織はセキュリティポリシーを策定せずにファイアウォールを導入しています。ファイアウォールの導入は、企業の目標に対応し、それをサポートするセキュリティポリシーと直接結び付ける必要があります。企業は、セキュリティポリシー、ファイアウォール、そして追加のセキュリティツール(ウイルス対策ソフトなど)を組み合わせた、多層的なセキュリティアプローチを検討する必要があります。
ファイアウォールのできること、できないこと
ファイアウォールはハードウェアベースとソフトウェアベースがあります。最も強固なセキュリティは、これら2つのオプションを組み合わせて使用することで実現できます。しかし、このアプローチでも、ファイアウォールシステムには限界があります。
- ネットワーク内からの攻撃や脅威から企業を保護することはできません。
- 追加のソフトウェアや特殊なテクノロジーがなければ、ウイルスからの保護は制限されます。
- ファイアウォールは、ファイアウォールを回避する攻撃から組織を保護することはできません。ダイヤルアップ アカウントを介した外部からのハッキングにより、セキュリティ プラン全体が完全に危険にさらされる可能性があります。
ファイアウォール技術は、従業員の不注意やパスワードの誤り、不正アクセスから組織を守ることはできません。これらの問題を阻止できるのは、想定されるコンピュータの使用とアクセスに関する特定のツールとポリシーガイドラインだけです。
最初のステップはリスク分析です。
ファイアウォールを導入する前に、新規購入やアップグレードの決定を下すために、社内リスク評価を実施する必要があります。この評価では、現在ネットワークを通過している情報とその経路と方向を分析し、実際のセキュリティホールと潜在的なセキュリティホールを特定する必要があります。そのためには、以下の質問に自問自答してみましょう。
- どのような資産(企業、顧客、電子商取引)がリスクにさらされていますか?
- その資産の価値はいくらでしょうか?ダウンタイム、収益の損失、クライアントや顧客の信頼の喪失など、どのような影響があるでしょうか?
- 実際の脅威は何ですか?内部の脅威は遮断されていますか?外部からの侵入の可能性はどれくらいありますか?
CIOとネットワーク管理者は、インターネットのアクティビティだけでなく、帯域幅要件、使用プロトコル、アクセス要件といった内部ネットワークトラフィックについても、包括的かつ完全に理解する必要があります。すべてのアクセスポイントは脆弱であり、攻撃を受ける可能性があることを忘れないでください。
この情報を入手したら、ファイアウォール アーキテクチャの構築に進むことができます。
ファイアウォールの基本的な設計上の考慮事項
アーキテクチャに関しては、単一のファイアウォールと多層ファイアウォール アプローチの 2 つの選択肢があります (図 AおよびB を参照)。
| 図A |
 |
| 単一アーキテクチャ |
| 図B |
 |
| 多層アーキテクチャ |
どちらが企業にとって最適かを判断するには、まずセキュリティ ポリシーを具体化して開発する必要があります。なぜなら、これら 2 つは密接に関連しているからです。
セキュリティポリシーの策定
セキュリティポリシーは企業のセキュリティニーズを直接反映するものであるため、必要なアクセスレベルを即座に決定する必要があります。組織は、サービスへのアクセスを制限したり、必要不可欠なアクセス以外をすべて拒否したりすることができます。
2つ目のポリシー上の問題は、ファイアウォールの決定に直接関係するアクセスレベルです。すべてのユーザーに基本的なアクセス権限を与えるのか、それともアクセス制限を与えるのか?これには、現在の使用状況を確認する必要があります。各ユーザーは個別にインターネットにログインしていますか?各ユーザーのサイト制限はどのようなものですか?ダウンロードやドキュメントの転送で許可または禁止するファイル拡張子の種類も忘れずに検討してください。ポリシーでは、組織に必要な冗長性の程度も決定する必要があります。フェイルオーバーバックアップを用意すべきか、多層防御を提供するべきか?さらに、ネットワークアクセスとインターネットの使用状況を、何を、誰が、どのように監視するのかも検討する必要があります。
最後に、ファイアウォール テクノロジの購入に関する財務上の考慮事項を検討します。過剰な保護や不必要な保護を購入することは避けたいですが、継続的なメンテナンス コストを負担する必要があります。
最後にいくつかヒントをご紹介します。
セキュリティポリシーとファイアウォールプランを作成・策定することは重要ですが、セキュリティ対策はそれだけではありません。IT管理者は、すべてのベンダーのパッチが適切に適用され、各システムが最新の状態に保たれていることを確認する必要があります。ファイアウォールシステムの真の価値は、すべてのリソースを継続的にメンテナンスすることにあります。
セキュリティ対策における重要な要素を一つも見逃さないようにするためのチェックリストを作成しました。TechRepublic会員の方は誰でもダウンロードできるこのチェックリストを使えば、見落としがないか素早く簡単に確認できます。
包括的なセキュリティには、階層化された防御アプローチによる安全対策が必要です。最終的なソリューションは、拡張性と成長に対応できる柔軟性を備えている必要があることをご留意ください。
