「従来型のファイアウォールはポート番号やアドレスしか見ていない。これでは,ネットワークで何が起こっているか,ユーザーが何にアクセスしているのか,分かる訳がない」――。米パロアルトネットワークス創始者兼CTOのニア・ズーク氏は,東京ビッグサイトで開催中の「Security Solution 2009」の講演で,こう警告した。
ニア・ズーク氏は,90年代にファイアウォール技術のステートフル・インスペクション方式を発案し,その後もOneSecure,NetScreenなどのセキュリティ・ベンチャーでCTOを務めた経歴を持つ。そのズーク氏が指摘するのが,「残念ながら現代のアプリケーションは,ポート番号やIPアドレスを自在に変更して通信できるものがほとんどを占めている」ということ。
例えば,HTTP通信で通常使われるポート番号80番は,インスタント・メッセンジャーや,音楽管理ソフト,ファイル共有ソフトなど様々なデスクトップ・アプリケーションが共有するようになっている。「企業ユーザーのトラフィックの9割以上を占めるHTTP/HTTPS通信のうち,Webブラウザのトラフィックは23%に過ぎない。それ以外はデスクトップ・アプリケーションが使っている」(ズーク氏)という。
こうした状況において,ポート番号やIPアドレス単位でパケットを監視する従来型のファイアウォールでは,「あるポート番号を使って誰かが外部のネットワークと通信したことまでは分かるが,それだけに過ぎない。何もしていないのと同じだ」(ズーク氏)という。
そこで現代のファイアウォールに求められるのが,ポート番号やアドレスではなく,アプリケーションそのものや,ユーザーそのものを識別する機能だという。ここでズーク氏は,自身が開発した「次世代型ファイアウォール」と呼ぶパロアルトネットワークスのPAシリーズの機能を紹介した(関連記事)。「ACC(Application Command Center)」と呼ぶ管理ツールを使うと,900種類以上のアプリケーションが,どのユーザーIDで使われているかが分かるという。例えば,「iTunes」や「2ちゃんねるブラウザ」といった細かな用途まで把握できる。
こうした機能を持つファイアウォールを使えば,インスタント・メッセンジャーを社内で一律禁止にするのではなく,業務に必要な部署のユーザーIDに限定して利用を認めるといったポリシーを適用できるという。「脅威のリスクを管理しつつ,社内の生産性やモラルを低化させずに済む」(ズーク氏)。ズーク氏が強調したのは,「デスクトップ・アプリケーションは日々増え続けており,旧来の技術では対応が複雑になり続け,管理が不可能になっていく」ということ。「シンプルにネットワークを管理するなら,アプリケーションやユーザー単位で通信を補足できるファイアウォールに変えることを検討すべきだ」とまとめた。
