“新しい”ファイアウォールが必要な時代になっている

米パロアルトネットワークス
創立者兼CTO（最高技術責任者）
ニア・ズーク氏

2010.06.28

　米パロアルトネットワークスは、「次世代ファイアウォール」を標榜するセキュリティ装置のベンダーである。同社の創始者兼CTO（最高技術責任者）のニア・ズーク氏は、「ファイアウォールは今、アプリケーションとユーザーを識別しコントロールできることが必要とされている」と主張する。その理由を聞いた。

（聞き手は山崎洋一＝日経NETWORK）

米パロアルトネットワークス創始者兼CTO（最高技術責任者）のニア・ズーク氏

ファイアウォールは歴史のあるセキュリティ装置だが、最近の役割をどのように見ているか？

　新しいファイアウォールが必要になってきたと考えている。既存のファイアウォールの機能では十分でなくなってきたためだ。プレゼンテーションに訪れる世界各地で、私はITプロフェッショナルに「なぜ、そのファイアウォールが必要なのか」と聞く。しかしもはや、ファイアウォールが必要な理由がわからなくなってきており、その質問に答えるのは難しい状況だ。

　昔のファイアウォールを導入する理由は「ネットワークへのアクセスを制御するため」、それと「ネットワークで何が起こっているかを記録するため」だった。だが、今のファイアウォールはこうしたことができなくなってきている。

　例えば、eMuleなどのP2Pファイル共有アプリケーションは、ファイアウォールを通って外側のネットワークにコネクションを開く。だが既存のファイアウォールには、これがWebブラウザのコネクション、電子メールのコネクション、SSL（Secure Sockets Layer）のコネクションといった、不審ではない通信に見える。そのため、eMuleのようなアプリケーションがファイルのリストをインターネット上のサーバーに公開し、誰もが興味あるファイルがないかどうかを検索可能にすることを許してしまう。

　アプリケーションの中にはTCPの25/80/443番など、Webやメールの通信で使うポートを利用するものがある。既存のファイアウォールが通しているポートを見つけて、外側にコネクションを張るアプリケーションも存在する。既存のファイアウォールに「入ってくる通信をすべて拒否する」というポリシーを設定しても、NATで内側のネットワークを隠すように設定しても、ファイアウォールを通って何者かが内部ネットワークからファイルを取り出せる。これでは、アクセス制御になっていない。

　ファイアウォールのログを見ても、内側のランダムなIPアドレスから外側のランダムなIPアドレスあるいはポート番号に接続したという記録しか残っていない。だが実際は、外側の誰かが内側に入ってきてファイルを取得していたかもしれない。つまり、ファイアウォールのログにも意味がなくなってきている。こうした状態にあるファイアウォールを“直す”ために当社は設立された。

今はファイアウォールだけを使うケースはあまりないと思うが。

　ファイアウォールがあまり多くのことができないことは、ずいぶん前から知られていた。そのため、ファイアウォールの周辺に他のセキュリティ装置を付け加え、補完するようになっていった。

　ファイアウォールは、ぜい弱性が見つかったとしても、そこが攻撃されているかどうかを探さない。そこでファイアウォールの後ろにIPS（Intrusion Prevention System：侵入防止システム）を加えた。だがIPSはウイルスを探さないので、IPSの後ろにウイルス対策を足した。ウイルス対策機能はスパイウエアを探してくれないのでスパイウエア対策を加え、それでも情報漏えいを検知しないのでDLP（Data Loss Prevention：情報漏えい防止）も追加した。コンテンツフィルタリングをしなかったのでプロキシも入れた。このように多くのセキュリティ装置が混在するようになったのは、ファイアウォールが多くのことをしないためだ。

　ファイアウォールが満足なセキュリティ機能を果たしていないにも関わらず、ネットワークセキュリティ市場の80％を占めているという話を聞く。つまり、ファイアウォールの裏側に常駐して機能するセキュリティ装置は、まだ市場の20％しか占めていないことになる。それでもユーザー企業は、見返りを求めずファイアウォールに毎年更新費を払っている。

　既存のファイアウォールの後方に追加されたさまざまなセキュリティ装置を見ると、ほとんどはWebとメールのトラフィックについてセキュリティを確保する役割しか果たしていない。例えばDLPは、機密情報をメールで送信したりWebサイトに掲載したりするのは検知するが、オンラインバックアップのサービス、あるいはBitTorrentやSkypeといったP2Pアプリケーションなどを使って機密情報を送信するのは検知しないことがある。同様のことは、ウイルススキャンについてもいえる。SharePoint、P2PアプリケーションやIM（Instant Messaging）アプリケーションのファイル送信に含まれるウイルスは検知しないことがある。

　後方に常駐しているすべての装置を、ファイアウォールの上に載せたのがUTM（Unified Threat Management）装置だ。だがこれは、既存のファイアウォールの問題も解決しないし、Webやメール以外のアプリケーションについてのセキュリティ対策問題も解決したことにはならない。なぜならば、構成要素は同じだからだ。反対に、パフォーマンスの問題は発生する。各機能をオンにすると、スループットが5割～9割落ちてしまうUTM装置がある。