コラム

CTC教育サービス・ホーム　＞　コラム　＞　Inst. Tech View　＞　第17回　次世代ファイアウォールとは

Inst. Tech View

CTC 教育サービス

[IT研修]注目キーワード Python UiPath(RPA) 最新技術動向 Microsoft Azure Docker Kubernetes

第17回　次世代ファイアウォールとは 2012年9月

　今回のInst. Tech Viewは、最近注目を集めている「次世代ファイアウォール」についての話題です。

　近年、企業においても「Facebook」や「Skype」、「YouTube」といったアプリケーションを利用する例が増えていますが、こうしたアプリケーション利用の拡大に伴い、アプリケーションを介したサイバー攻撃や情報漏えいの危険性がますます高まっています。

　こうした脅威に対応するため、多くの企業はインターネットと社内LANの境界にファイアウォールを配置していますが、残念ながら従来のファイアウォールでは新しいタイプの脅威を防御するのが難しくなっています。

　理由は従来型ファイアウォールのアーキテクチャにあります。従来型ファイアウォールは、パケットのヘッダ情報（送信元/宛先IPアドレスとポート番号）を検査して、そのパケットを許可するかどうかを判断します。
　一般的に各アプリケーションが使用するポート番号は決まっている（E-mailの送信＝25番ポート、Webアクセス＝80/443番ポートなど）ため、特定ポートをファイアウォールでブロックすれば、該当アプリケーションがブロックされます。

　ところが、最近よく利用されているアプリケーションの多くは、ファイアウォールによるブロックを回避するため、他のアプリケーションが使用しているポート番号を利用したり（多くのアプリケーションは80/443番ポートを利用）、動的にポート番号を変化させたりします。
　データを暗号化することで、ファイアウォールをすり抜けようとするアプリケーションもあります。このため、従来型ファイアウォールでは、これらのアプリケーションを識別・制御することができません。

　この問題を解決するのが、「次世代ファイアウォール」です。
　次世代ファイアウォールは、新しいタイプのアプリケーションを識別・制御し、様々な脅威から企業ネットワークを守ります。

　例えば、パロアルトネットワークス社が提供する次世代ファイアウォール「PAシリーズ」は、「App-ID」と呼ばれる技術により、ポート番号や暗号化の有無に関わらずアプリケーションを識別します。

　App-IDによるアプリケーション識別の流れは、以下のようになります。

アプリケーションプロトコルの検出と暗号化されたデータの復号
アプリケーションプロトコル（HTTPやSMTPなど）を特定します。
SSLが使用されている場合は、分析するためにデータを復号します。
アプリケーションプロトコルのデコード（解析）
最初に検出したアプリケーションプロトコルが「実際のプロトコル」なのか、それとも実際のアプリケーションを隠蔽するためのトンネルとして使用されているのかを判定します。
アプリケーションシグネチャとのマッチング
アプリケーションを定義づけるシグネチャとのマッチングを行い、アプリケーションを識別します。
ヒューリスティック検査
シグネチャにマッチしない場合は、ヒューリスティック（ふるまい）検査を行います。
独自の暗号化を行うアプリケーションは、この段階で識別します。
以上のように、次世代ファイアウォールは様々な手法によりアプリケーションを分析するため、例えば「Facebook」「Skype」「Winny」がすべて80番ポートを使用していたとしても、それぞれ異なるアプリケーションとして区別することができます。

　残念ながら従来のセキュリティソリューションでは、新しいタイプの脅威に対応することができません。新たなセキュリティソリューションの選択肢の一つとして、次世代ファイアウォールの検討をお勧めします。

　CTC教育サービスでは、次世代ファイアウォールを体系的に学習するためのトレーニングとして、パロアルトネットワークス社認定コースを開催しております。今回取り上げたアプリケーション識別技術だけでなく、様々な機能を体験できるコースとなっておりますので、ぜひご検討ください。

　>>　PA01：次世代ファイアウォールPAシリーズのインストール/設定/管理「Palo Alto Networks Firewall Installation，Configuration & Management 4.1」