ファイアウォールはネットワーク・セキュリティを確保するうえで最も基本的なツールである。不正アクセスの防止には欠かせないものだが,その設定では注意すべき点がある。
(1)IPアドレスとプロトコルのペアによる過剰なアクセス制御
ファイアウォールによるアクセス制御といえば,IPアドレスとプロトコルのペアでルールを記述するのが基本である。ただし,大きなネットワークに対して詳細なルールを設定しようとして,ルール数が数百を超えるような例を見かけることがあるが,できる限りルールを整理するように勧めている。
なぜなら,ファイアウォールのアクセス制御ルールの追加や変更はよくあることであり,既存のルールが数百もあると,変更によって不整合が出て問題が発生することが少なくないからだ。ルール数が多すぎると,ファイアウォールの性能劣化も招いてしまう。
アクセス制御のルールは,対象ファイアウォールの位置付けをよく考えたうえで,セグメント単位で許可するプロトコルを指定するなど,サマライズすることを考えた方がよい。ルール数が10~20個程度に収まれば理想だ。
(2)ログ取得機能の安易な利用
ファイアウォールは,アクセス監査を目的としたログ取得機能を備えている。この機能を深く検討せずに有効にしてしまうエンジニアがいる。
ファイアウォールのログの活用でまず考えるのは,遮断したアクセスの履歴を残すことだろう。その内容を調べて,不正アクセスの兆候をタイムリーに検知したり,情報漏えいなどが実際に起きた後で不正アクセスの内容を分析したりする(図)。しかしファイアウォールの遮断ログはそもそも,そうした用途には向かないのだ。
悪意を持って不正アクセスを行う者は,多数の通信ポートを順に調べるポート・スキャンなどを大量に仕掛けてくる。大量のログの中に,本当の不正アクセスのログを埋もれさすのが目的だ。こうしたログの分析には時間がかかるため,リアルタイムの不正アクセスの検知はおろか,事件があったときの事後調査においても迅速に分析することは難しい。
不正アクセスを検知・分析したいなら,IDS(侵入検知システム)の導入を検討した方がよい。不正アクセスの事後分析には,IDSとWebサーバーなどのログを併せて調べる。このとき,ファイアウォールのログは補完的な役割しかない。そもそもWebシステムの不正アクセスには,通常のHTTPプロトコルが使われることが多く,ファイアウォールがそれを許可していれば,遮断ログとしては残らない。要するに,ファイアウォールのアクセス遮断ログは,不正アクセスの分析には大して役に立たないのだ。
ファイアウォールが許可しているアクセスのログを残すことは,さらにお勧めできない。ファイアウォールの性能を著しく劣化させることになるからだ。利用状況を把握したいなら,米NIKSUNの「NetDetector」やネットエージェントの「Packet Black Hole」のようなパケット・キャプチャ・ツール,または米ZOHOの「NetFlow Analyzer」などのネットワーク・トラフィック分析ツールの導入を検討することをお勧めする。
ファイアウォールは,設定変更やルール把握のためのGUIを提供したり,通信ログをフロー単位で記録したり,利用者を認証できたり,簡易IDSの機能を搭載したりなど,豊富な機能を備えるようになっている。しかし,どの機能を有効にするかは,運用も含めた要件と,許容される性能劣化の度合いを評価して適切に判断したい。
NTTデータ ソリューション&テクノロジーカンパニー
基盤システム事業本部MS開発部 部長
シニアITスペシャリスト(セキュリティ)