ファイアウォールにアプリケーションの制御機能を加え、マルウェア対策など複数のセキュリティ機能も兼ね備えた「次世代ファイアウォール」製品。複数のセキュリティ対策を組み合わせた「多層防御」を実現するに当たって、次世代ファイアウォールの活用は有力な手段となる。
次世代ファイアウォール製品ベンダー各社は標的型攻撃に対抗すべく製品機能を拡張している。スマートフォンやソーシャルメディアといった新たな要素に対する脅威も視野に入れつつある。本稿は、次世代ファイアウォールの直近の機能強化を見ながら、今後の進化の方向性を探る。
次世代ファイアウォールはマルウェア対策機能を備える製品が多く、各社ともマルウェアのパターンファイルであるシグネチャの充実に注力している。だが未知のマルウェアを利用した攻撃の場合はシグネチャが役に立たないため、別のアプローチを探る動きが現れている。
昨今の標的型攻撃には、攻撃者によって乗っ取られた大量の端末群である「ボットネット」が利用されるケースがある。それを受け、ボットネットの検出機能を備える製品が登場しているのが最近の動きだ。例えばパロアルトネットワークの次世代ファイアウォール「PAシリーズ」は、「ボットネット検知リポート」という機能を備える。ボットネットの通信に多い、不明なプロトコルやIRCなどのアプリケーション通信の多さを検出。ボットに感染した疑いのある端末をリストアップし、定期的にリポートする。
ソニックウォールは、次世代ファイアウォール向けOSの「SonicOS」に、IPアドレスの評価データベースを使用して危険なIPアドレスを特定し、ボットネットの制御コマンドを含む通信をブロックする機能を備える。
標的型攻撃の場合、攻撃を完全に防ぐことよりも、攻撃された事実を可能な限り早期に検知し、情報漏えいなどの被害を防ぐことが重要になる。
攻撃を早期に発見するには、攻撃の兆候を見つけ出す“センサー”を社内システムに張り巡らすことが不可欠だ。次世代ファイアウォールが持つアプリケーションの可視化機能はその一助となる。社内で利用されているアプリケーションやそのユーザー、ネットワークの利用帯域幅といった情報をリアルタイムに把握できる。
ただし次世代ファイアウォールだけで収集できる情報には限りがあるため、今後は他のセキュリティ製品との連携が進むことも考えられる。マカフィーは可視化機能の強化に加え、次世代ファイアウォールとエンドポイントセキュリティ製品との連携を進めるという。次世代ファイアウォールが発見したトラフィック情報と、エンドポイントセキュリティ製品が発見したアプリケーションの情報を相関分析することで、脅威の兆候を見つけやすくなるという考え方に基づくアプローチだ。
次世代ファイアウォールに限らず、ネットワークセキュリティ製品全般に共通した課題がスマートフォンをはじめとするモバイル端末の制御だ。次世代ファイアウォールはインターネットとLANの境界に設置されることが多い。LANからインターネットにアクセスする端末は次世代ファイアウォールで制御できるが、3G回線を介してインターネットにアクセスするモバイル端末は制御対象から外れてしまう。
モバイル端末でも社内のクライアントPCと同様のセキュリティレベルを適用するための機能拡張が今後のトレンドになるだろう。パロアルトネットワークスがPAシリーズの有償オプションとして販売するエンドポイントセキュリティ製品「GlobalProtect」はその具体例の1つだ。端末にインストールしたGlobalProtectのクライアントソフトウェアが次世代ファイアウォールと通信し、社内のクライアントPCと同じセキュリティポリシーで端末を制御する。
モバイル端末からLANにリモートアクセスする際の安全性向上のために、モバイル端末向けのSSL VPN機能を標準機能やオプションで提供する動きも広がるだろう。ソニックウォールの「SonicWALL TZシリーズ」やフォーティネットジャパンの「FortiGateシリーズ」、チェック・ポイント・ソフトウェア・テクノロジーズの「Check Point R75」といった次世代ファイアウォール製品が提供済みだ。
次世代ファイアウォールのメリットはポートやプロトコルだけではなく、アプリケーションやユーザーに応じて制御方法を変えられるという点にある。その利点は、業務利用が進むTwitterやFacebookといったソーシャルメディアの利用制限にも生きる。一律に利用を禁止するのではなく、マーケティング部門など業務利用が必要なユーザーに限定して利用を許可するといった制御が可能だ。
今後は利用ユーザーの制限に加え、利用を許可されたユーザーであっても投稿内容に応じて利用制限を掛ける機能の搭載が進む可能性がある。ここで鍵となるのが、コンテンツ解析で機密情報の漏えいを防ぐDLP(Data Loss Prevention)の活用だ。マカフィーはMcAfee Firewall Enterpriseと自社のDLP製品との連携や、基本的なDLP機能をMcAfee Firewall Enterpriseに導入することも検討しているという。