NRIセキュアテクノロジーズは2013年8月7日、ユーザー企業のファイアウォール設定が適切かどうかを調査して問題点を報告するSIサービス「ファイアウォールポリシー検査」(写真)を発表、同日提供を開始した。ファイアウォールの種類は問わない。価格は個別見積もりだが、数十万円から。
写真●ファイアウォールポリシー検査の概要(出典:NRIセキュアテクノロジーズ)
[画像のクリックで拡大表示]
ファイアウォールに実際に施されている設定が適切かどうかを調べて報告する。ユーザー企業は、ポリシーを記述したファイアウォール設計書と実機のコンフィグ(設定)ファイルをセットで提出する。NRIセキュアテクノロジーズは、これらの情報を使って診断し、ユーザー企業に対して報告書を作成して提出する。
監査項目としてはまず、実際にファイアウォールに設定されている設定がポリシー設計書の通りかどうかを調べる。そのうえで、そもそも設計書に書かれたポリシーが適切かどうかを診断する。
ポリシーの診断では、例えば、ポリシーに穴があって本来想定していない通信を許容していないか、本来は不要である無駄なポリシーが設定されていないか、セキュリティ上の穴となる管理権限が過剰に設定されていないか、監視用サービスから過大な情報が露呈する可能性がないか、などを調べる。
診断作業を開始する前に、検査方法などを綿密に打ち合わせ、検査要件を固める。診断作業を開始してからは、標準では3営業日程度で、発見した問題点と対策をまとめた速報レポートをユーザー企業に提出する。安全性を評価した最終報告書は、およそ10営業日程度で作成、提出する。その後、報告会を実施する。
