写真1●設定ファイルの変更点を可視化(出典:富士通ソーシアルサイエンスラボラトリ)
写真1●設定ファイルの変更点を可視化(出典:富士通ソーシアルサイエンスラボラトリ)
[画像のクリックで拡大表示]
写真2●複数機器の設定ファイルから経路情報を可視化
写真2●複数機器の設定ファイルから経路情報を可視化
[画像のクリックで拡大表示]

 富士通ソーシアルサイエンスラボラトリ(富士通SSL)は2014年10月21日、ファイアウォール機器の設定ファイルを対象とした変更管理/構成管理サーバー「FireMon」を発表、同日販売を開始した(写真1)。頻ぱんに追加/変更が生じるファイアウォールの設定を適切に管理することによって、セキュリティに穴が生じないようにすることが狙い。大量のファイアウォールを管理するユーザーなどを対象に、3年間で50社の販売を目指す。開発会社は、米FireMon。

 FireMonは、ファイアウォールを中心としたネットワークセキュリティ機器の設定内容(ルール)について、設定の変更内容を把握したり、古くて使われていない設定が残っていないかを調べたりするサーバー製品である。このほか、重複しているルールについては推奨ルールを表示し、期限付きのルールについては満了日を表示する。さらに、複数の機器の設定ファイルを取り込んでネットワーク構成(トラフィックの経路)を可視化することもできる(写真2)。製品は、仮想アプライアンスの形で提供する。

 この製品が登場した背景には、ファイアウォール機器の設定内容を適切に管理することが難しいという状況がある。ファイアウォールの運用では、システムやサービスを追加するごとに、その都度ルールを作成して反映する形をとる。しかし、ファイアウォールの運用管理は手作業で行われるため、システムやサービスの運用終了後に削除すべきルールが放置されてしまうことがあるという。こうした状況がセキュリティの穴や性能劣化の原因になる。

 FireMonは、ファイアウォール機器へのSSHログイン(CLI)を介して、設定ファイルを収集する。こうして、変更前の設定ファイル(以前に収集した設定ファイル)と、変更後の設定ファイル(ファイアウォールの現行の設定ファイル)の情報をFireMon上で保持する。ただし、FireMonを導入しても設定のマスターはファイアウォール側であることに変わりはなく、ファイアウォールに対して直接変更を加える運用になる。

 なお、ファイアウォールの設定に変更が加わった際にファイアウォールからSyslog経由でFireMonに設定箇所を通知する運用ができる。また、ファイアウォールのトラフィックログをSyslogでFireMonに通知して設定ファイルとトラフィックログを突き合わせることで、未使用ルール(過去に設定したまま現在では使われなくなったルール)を検出することもできる。