ファイアウオールの“活用”方法をご存知だろうか。インターネットからの攻撃を防ぐといった基本的な使い方とは違ったものである。ちょっとした設定の変更や工夫で利用できる。

 ここで紹介する活用方法は,2つある。ほかのサイトなどに迷惑をかける「踏み台」になるのを防ぐ方法と,不正アクセスを効果的に「検知」する方法である。どちらもセキュリティの高度な知識は不要なので,まだなら,すぐにも“活用”を始めてほしいものだ。

DMZで「踏み台」になるのを防ぐ

 踏み台になるとは,Webなどの公開サーバーに侵入され,それを経由してほかのサイトなどを攻撃されること。外部からは攻撃に荷担したとみなされ,企業のイメージ・ダウンにつながる深刻なものだ。ファイアウオールの「DMZ」(非武装地帯)機能を使えば,これを効果的に防止できる。

 DMZは,インターネットとイントラネットに次ぐファイアウオールの3番目のセグメントで,そこに公開サーバーを設置する。インターネットからDMZに対しては,WebサーバーにはWebアクセス(ポート80番)以外を禁止するというように,アクセスを制限することで,公開サーバーの安全性を高められる。意外に活用されていないのが,この仕組みを使って,公開サーバーが踏み台となるを防止することである。

 対策の方法は簡単。DMZ内からインターネットへのアクセスを原則としてすべて禁止すればよい。インターネットからDMZ内のWebサーバーへのHTTPアクセスは許可しているので,そのWebサーバーはセキュリティ・ホールを突かれるなどして,侵入される危険性がある。本当に侵入されたとしよう。クラッカは,そのサーバー上で任意のプログラムを実行できる。しかし,それでもWebサーバーを踏み台にして外部を攻撃することは難しい。Webサーバーからインターネットへのアクセスは,すべてファイアウオールで禁止してあるからだ。

 サーバーの種類によっては,外部へのアクセスをある程度許可しなければならないことがある。例えばメール・サーバーの場合,外部へのメール送信(SMTP),送信先のメール・サーバーの所在を調べるDNSアクセスなどは許可するしかない。それでもほかのプロトコルをすべて禁止するといった設定をきちんとしておけば,踏み台となることはほとんど防止できる。

 Code Redのように,Webサーバーを「踏み台」にして,ほかのサーバーに感染するワームの活動も制限できる。DMZからインターネットへのWebアクセスを禁止しておけば,Webサーバーに感染したCode Redは,ほかのWebサイトに感染できない。DMZを適切に設定していれば,IISサーバーのパッチを適用していなくても,感染するだけで,ほかには迷惑をかけなかったのである。

不正アクセスの「検知」に効果あり

 ファイアウオールは,「不正アクセスの遮断だけでなく,検知にも非常に効果的」(ラック セキュアネットサービス事業本部本部長の西本 逸郎氏)である。方法は,ファイアウオールのログをうまくチェックすること。高価なIDS(侵入検知システム)を導入しなくても,ある程度の検知は可能なのだ。

 ファイアウオールのログ・チェックと言われて,何をいまさらと思うかもしれない。ファイアウオールのどの教科書にも書いてある。不正アクセスの足跡は,ファイアウオールのログに残るので,それを日々チェックしていれば,不正アクセスの早期発見につながる,というものだ。

 しかし,ログをチェックする作業は現実には容易ではない。インターネットには常に攻撃が飛び交っており,そのなかから新種のものを見つけ,自社に危険なものを抜き出すのは相当なスキルが要求されるからだ。

 そこでお薦めなのが,チェックするログをうまく限定すること。インターネット,社内ネットワーク,DMZという3つのゾーン間を結ぶ経路によって,見るところを変えるのである。

 インターネットから,社内ネットワーク/DMZに対するアクセス・ログは,前述のようにチェックするのにスキルが要求される。Webサーバーなどがビジネスに直結するもので,侵入されたら大問題といった場合でない限り,このログのチェックは諦めるのも1つの方法だ。必要なら,ログのチェックをベンダーに外注した方がよいだろう。

 誰でも比較的に簡単にチェックできるのが,DMZからインターネット/社内ネットワークに対するアクセス・ログである。これは,Webなどの公開サーバーなどに侵入された場合に,それを検知するのに効果的である。Webサーバーなどがクラッカに侵入されたり,ウイルスに感染したりすれば,そこからインターネットや社内ネットワークに攻撃を仕掛けられることが多い。そうした攻撃とみられるアクセス・エラーがあったら,クラッカなどの侵入を疑った方がよい。

 DMZを起点としたアクセス・エラーは,管理者の作業ミスなどがない限り,本来は発生するはずがない。そのチェックは簡単なはずだ。

 社内ネットワークからインターネット/DMZあてのアクセス・ログも重要である。社内マシンがウイルスに感染したり,社員が不正アクセスを試みたりする場合に,それを早期に発見できる。社内ネットワークからのログには,無意味なパケットが多く含まれているので,それをあらかじめフィルタリングしておくことで,ログのチェック作業は容易になる。NetBIOS系のアクセス・エラーなどを除いておくのである。

 このようにファイアウオールができること,さらに,できないことを明らかにした特集記事を日経インターネットソリューションの10月号にまとめた。

 日経インターネットソリューションは,日経インターネットテクノロジーから誌名を変え,10月号から新装刊したものである。日経インターネットソリューションでは,既存の技術や製品をいかに組み合わせ,導入/活用したらいいのかというソリューション情報を強化する。その新装刊号の特集として,“枯れた”技術であるファイアウオールの活用法を分かりやすくまとめた。ご一読いただければ幸いである。

(安東 一真=日経インターネットソリューション編集)