TOUCH THE SECURITY Powered by Security Service G
はじめまして! パーソルクロステクノロジー セキュリティサービスGの山本ひかりと申します。
IT業界に未経験転職して約3年半。 それ以前は接客業をしており、「転職するなら全く知らない事を!」と飛び込んできた正真正銘のアナログ人間でした。入社後のネットワーク研修からはじまり、セキュリティに携わるようになったのは転職後1年ちょっと経ってからで、 今現在は主にファイアウォールに携わっております。
前述の通りのアナログ人間でしたので、たいしたネットワーク知識も無いまま、セキュリティサービスGに異動となり、現場で繰り返し「ファイアウォール とは」と検索しておりました。
最近のファイアウォールって何ができるの?
周囲のネットワークやサーバに携わる若手SEと話していると、「ファイアウォールって実はよく分かってない」「サーバとかのファイアウォール機能の事かと思ってた」ということをちらほら耳にします。
セキュリティに興味を持ち始めた方へ、私の主観的な感想も交えてご紹介したいと思います。
L7ファイアウォール
古いサイトや教本を参照すると、ポートの開閉でトラフィックを制御すると書かれている事があります。これは従来型ファイアウォールと呼ばれます。 それとは対照に、最近ではL7ファイアウォール(通称:次世代型ファイアウォール)と呼ばれる、アプリケーション単位(L7レベル)での制御が行えるファイアウォールが一般的になってきました。 これは、通信の多様化によって、ポート単位では制御が難しくなってきたためです。
例えば、web閲覧を許可したいと思い、LAN側→WAN側への80/HTTPや443/HTTPSの通信を許可してしまうとします。これでは、社員はfacebook、Dropbox、EverNote、Skype等のアプリケーションをすべて利用可能となってしまいます。
他にも80/HTTPを利用したアプリ通信は数多くあり、セキュリティ管理者は、社員が情報を漏えいさせてしまったり、有害ファイルをダウンロードしてしまったりしない様に、LAN側WAN側の双方向の通信を制御してインシデントを防止する必要があります。
イシンデントは起こさない事がなにより大事ですね!
検知ログ
次に挙げられるポイントとしては、検知ログです。 ファイアウォールには、通信の検知ログが残ります。アプリケーションを制御出来るという事は、もちろんログにも記録されます。 私が取り扱っていたファイアウォールでは、SNSへの閲覧や書き込みも区別する事ができた為、就業当初、読み取れる情報の細かさに驚きました。 脅威の予防だけでなく、何かの有事の際に調査出来る材料をつくる事も大切な役割ですね。 このような記録は、今いま、企業の意識の問題だけではなく、第3者からの監査を受けるため、ファイアウォールログをカスタマイズしているようなお客さまもいらっしゃいました。
最後に
ファイアウォールと聞いてイメージされる事の多い要素としては、脅威そのものからの防御ではないでしょうか? アンチウイルス、IPS/IDS、アンチスパム、アンチスパイウェア、サンドボックスなどなど、、、製品によりオプションがありますが、 1つの機能で防げる脅威にはどうやったって限界があります。 「攻撃者が目的を果たす前にどこかで食い止めよう!」この考えのもと、多層的な防御が出来る製品が多くあります。
こういった機能それぞれで検知されるユーザーにばらつきがあるかというとそうではなく、ログを追っていくと、1人の社員の端末がすべての機能で検知されるパターンがたくさん見られました。 時系列でログを追っていくと、脆弱性の検知やウイルスのダウンロードからはじまり、その後感染してアンチスパイウェアやボットネット機能で検知されるようになっていきます。
私自身、セキュリティに携わる前は ”ファイアウォールってなんかセキュリティのやつ”レベルの認識でした。残念w 同じ様な感覚を持っている若手SEの皆さんの理解につながれば幸いです!
