|
|
図3 ファイアウォールですべてが防げるわけではない ファイアウォールを設置すれば,直接の攻撃にさらされるマシンを少なくできる。だが,それだけでは不正アクセスをなくせない。とくに公開サーバーのセキュリティ対策は入念に実施すべきだ。またコンピュータ・ウイルスに対しては,防衛力はないものと考えた方がいい。 |
設置さえすれば完全に防げる?
では,ファイアウォールを設置して社内サーバーへのアクセスを禁止すれば,インターネット経由の不正アクセスを完全に防げるのだろうか。残念ながら,設置さえすれば安心というわけにはいかない。ファイアウォールで防げない不正アクセスの例をいくつか紹介しよう(図3[拡大表示])。
まず,インターネット上のサーバーとやりとりすることを前提とするサーバーである「公開サーバー」への攻撃。一般的な公開サーバーとしては,社外に情報を提供するWebサーバー,メール・サーバー,DNSサーバーなどがある。この公開サーバーのサーバー・ソフトのバグや設定ミスをついて攻撃を仕掛けてくるのだ。
これらの攻撃に用いられるパケットは,ファイアウォールを通り抜けてくる。設定したルールに違反していないからだ。サーバーがパケットの中身を取り出したとたんに,破壊工作を始めるのである。
この種の攻撃としては,サーバー・ソフトのバグをついて管理者権限を奪うもの(代表例は「バッファ・オーバーフロー」)や,サーバー・ソフトの設定ミスを使ってサーバーを不正利用するもの(代表例はメールの不正中継),大量のパケットを送り付けてサーバーをダウンさせるもの(代表例は「SYN(シン)フラッド」)――などがある。
ファイアウォールで守っているマシンが被害を受けることもある。
例えば,コンピュータ・ウイルス。通常のファイアウォールは,メールの内容や添付ファイルの中身はチェックしない。このため,ファイアウォールを設置していても,悪意のあるプログラムが添付されたメールは簡単に社内に侵入できる。これを社内ユーザーが起動すれば,感染してしまう。
攻撃目的かどうかはわからない
もう一度整理すると,ファイアウォールの基本的な役割は,「外部に公開しない社内サーバーへの侵入を社内LANの手前で阻止すること」である。ファイアウォールは,指定されたルールに従って通過の可否を判断しているだけ。このため,公開サーバーへのアクセスなら,仮に不正な目的であっても,ルールに従っている限りパケットは通過させる。ファイアウォールは,パケットの送り主の意図までは判断できないのだ。
このように,社内LANのセキュリティを高めるには,ファイアウォールを設定して非公開サーバーへのアクセスを禁止することに加え,公開サーバーそのもののセキュリティを高める不断の努力と,コンピュータ・ウイルスを発見・駆除するワクチン・ソフトの導入・運用が不可欠となる。
ファイアウォールを導入すれば,セキュリティ対策を重点的に施す対象を絞れる。そうなると運用負荷が減るので,セキュリティ対策を徹底しやすくなるだろう。
