このページの本文へ

パロアルトPAシリーズが実現する「最強の見える化」

鉄壁であったファイアウォールの力はなぜ衰えたのか?

穴だらけのファイアウォールはもう要らない

2011年05月17日 10時00分更新

文● 大谷イビサ/TECH.ASCII.jp 記事協力●パロアルトネットワークス

インターネットの攻撃が巧妙化・複雑化し、もはや既存のファイアウォールで対応できなくなっている。鉄壁であったファイアウォールの力はなぜ衰えたのか? じっくり検証していく。

Webアプリケーションの台頭で拡がる
セキュリティの脅威

 この数年、Webアプリケーションの台頭が著しい。業務アプリケーションのWeb化は1990年代後半から進められてきたが、2004年に「Web 2.0」が提唱されて以降、その流れは一気に加速している。昨今ではAjaxやリッチクライアントの技術が進化したことで、Webブラウザ上であってもローカルアプリケーションと同じような操作性が実現されている。「Webアプリケーションの使い勝手が悪い」というのは、すでに過去になりつつあるのだ。

 こうしたなか、最新技術を採用したGoogle AppsやSalesforce CRMなどのWebアプリケーションを月額課金で利用するSaaSが一般化しているほか、昨今ではTwitterやFacebookといった個人向けのサービスをビジネスで活用しようという動きも盛んになってきている。また、PCへのインストールを要するアプリケーションも、ネットワークを介して他のノードとやりとりしたり、クラウドと連携するという形態が増えており、純粋にPC単体やLAN内のみで使うアプリケーションはもはや少なくなっているといえる。

 だが、こうしたネットワークアプリケーションの台頭は、企業の情報管理にとって大きな脅威となっている。外部からのウイルスやスパイウェアといわれる不正プログラムの侵入や迷惑を引き起こすスパムメール、逆にビジネス情報や個人情報の漏えいといった事態を引き起こす可能性が高まっているからだ(図1)

図1 多くのアプリケーションは、80/443ポートを利用する

 P2Pソフトによるウイルス感染、SNSによる外部へのビジネス情報の流出、ドライブバイダウンロード攻撃でのWeb改ざん、ボット感染によるサイト攻撃などセキュリティ事件は毎日のように起こっている。また、SNSの誤った使い方で会社や商品の評判を落としてしまう事例も数多く発生している。所属している会社を公開しつつ、競合の製品を名指しで非難したり、顧客に対する不満を公開でつぶやいてしまったりといった例は枚挙にいとまがない。クラウドツールとして名高い「DropBox」や「Skydrive」に関しても、会社の機密情報をまるごとアップロードしてしまう従業員がいないとは限らない。

 これに対して、「会社にはファイアウォールが導入されているから安心!」と考えている管理者も多い。しかし、1990年代のインターネットを前提に開発されたファイアウォールは、すでに役割を果たしていない。その理由を見てみよう。

アプリケーションを見られない
今までのファイアウォール

 ファイアウォールの役割とは、アクセス制御とログの採取だ。つまり、入力されたパケットに対して、通過の可否を判断し、アクセスログを記録するという処理を行なうわけだ。これにより、インターネットからの攻撃がLANや公開サーバーにおよぶのを防ぐとともに、不正なパケットがLAN内から送信されないようにコントロールする。

 旧来のファイアウォールでは、宛先や送信元のIPアドレスやポート番号、プロトコル番号などを組み合わせて条件付けしたフィルタリングルールを用いて、パケットの通過の可否を判断していた。

 たとえば、Webブラウザの通信はLAN内のPCのリクエストを、インターネット上のWebサーバーにHTTPの80番ポート宛てで送信し、Webサーバーからも同じポートを経由して、LAN内のPCにレスポンスを返すという流れになる。そのため、Webでの通信のみ許可するのであれば、LANからインターネットへのHTTPの80番ポートはOK、その他は遮断というルールを適用する。これにより、LANからインターネットにはHTTPのWebブラウジングのみ利用を許可することができる。

 しかし、世の中のほとんどのWebアプリケーションはHTTPやHTTPS、つまり80番ポートや443番ポートを利用する。実際にSalesforce CRMやTwitter、Facebook、YouTube、そしてGmail、Google カレンダー、GoogleドキュメントといったGoogle Appsなどのアプリケーションはすべてこの80/443番ポートを利用する。同じポートを複数のアプリケーションが使ってしまうので、ポート番号ではどのアプリケーションかを識別できない。

 また、80番ポートのみならず高度な手法でファイアウォールを越えてしまうアプリケーションも多い。たとえば、Skypeは空いているポートを勝手に探して使ったり、通信自体をSSLでトンネル化したり、あるいは通信が可能な他のSkypeノードをプロキシとして利用する。アプリケーション自体がファイアウォール越えを前提として作られているのだ。その他、昨今話題となっているTOR(The Onion Router)やUltrasurfなどの匿名プロキシやHamachiなどのトンネリングアプリケーションも、ファイアウォールやURLフィルタリングを容易に越えてしまう。こうしたツールやサイトは、検索するだけで簡単に見つかってしまうため、エンドユーザーは簡単に利用まで行き着く。HTTPのWebブラウジングを許可しただけで、ほとんどのアプリケーションがファイアウォールを素通りすることになるわけだ。

URLを入力するだけで簡単に使えてしまう匿名プロキシ

 また、旧来のファイアウォールではログの採取も厳しい。たとえば2ちゃんねるへのアクセスを調べる場合は、まず2ちゃんねるを宛先にしたURLを洗い出し、送信元のIPアドレスが誰かを特定しなければならない。1日前のログであれば、これを手作業でできるかもしれないが、1年前であればお手上げといえる。さらに送信元を偽装する匿名プロキシやトンネリングアプリケーションを使えば、ファイアウォールを完全にバイパスできてしまう。そもそも膨大に溜まっていくログそのものは価値がなく、きちんと通信の傾向や攻撃などを検出してこそはじめて意味を持つ。多くの企業はファイアウォールを設置しても、アプリケーション利用状況や攻撃傾向を分析し、対策に活かすということまで実現できていないのが実態だ。

 もう1つ指摘したいのは、クライアントとサーバーという関係が崩れつつある点だ。ご存じのとおり、WebでのHTTP通信は、サーバーに対するリクエストとそのレスポンスで構成されている。しかし、昨今はクライアントPCでWebサーバーとして動作するものが数多くある。こうなるとログを精査しても、データの流れを追うのはきわめて難しい。

既存のファイアウォールや
UTMのアプローチにもNo!

 こうした既存のファイアウォールの限界に警告を出し、アプリケーションの可視化や制御を実現する「次世代ファイアウォール」への移行を勧めるのが、パロアルトネットワークスの乙部幸一朗氏だ。乙部氏は「アクセス制御もできなければ、ログの採取も厳しい。管理もままならないというのであれば、そのファイアウォールを導入している意味はないといわざるをえません」と語る。

写真2 パロアルトネットワークス 技術本部長 乙部幸一朗氏

 現在、多くの企業はファイアウォールをLANとインターネットの境界に設置し、それを補完するためにウイルス対策やIPS、URLフィルタリングなどの専用装置を配置している(図2)。いかにも無駄の多いこうした構成を採らなければならない理由は、従来のファイアウォールやセキュリティ製品では、見られる対象(スコープ)が狭いからだ。ファイアウォールはIPアドレスやポート、ウイルス対策ソフトはウイルス、URLフィルタリングはURLのみ。こうした個別の対策で、複合化する脅威を検知するのは困難だ。

図2 従来のファイアウォールとUTMのアプローチの違い

 では、こうしたファイアウォールやIPS、アンチウイルス、Webフィルタリングなどセキュリティ機能を単一のハードウェアに統合したUTM(Unified Threat Management)はどうだろう?確かにUTMには脅威に対してそれぞれ対策が用意されているが、複数のエンジンが存在するの で、どうしてもパフォーマンスの劣化が避けられない。ファイアウォールのスループットは超高速なのに、複数の機能をオンにしたUTMとして使うと、スループットが2桁下がってしまう製品すらある。また、機能ごとにポリシーを設定する必要もあるし、制御に関してもブロックか、通過かといった二者択一でしか選べない製品も多い。

 これに対して、アクセス制御とログ採取というファイアウォール本来の目的に立ち戻り、アプリケーション可視化と制御のために構造自体を設計し直したのが、パロアルトネットワークスの次世代ファイアウォール「PAシリーズ」である。

写真1 パロアルトネットワークスの「PA-5000シリーズ」

こんなに見える!
禁止したアプリケーションも見える

 パロアルトネットワークスは、2005年に設立された米国のITベンダー。創業者のニア・ズーク氏はチェック・ポイント・ソフトウェア・テクノロジーズで現在のファイアウォールの基礎技術であるステートフルインスペクションを開発した1人で、その後ワンセキュアで世界初のIPSを手掛ける。そして、ネットスクリーンによるワンセキュアの買収を経て、ジュニパーネットワークスのネットスクリーン買収以降は同社のCTOを務めた後、2005年にパルアルトを設立し、次世代ファイアウォール「PAシリーズ」を開発した。ファイアウォールの原型を作り、弱点を知り抜いているオリジネーターが、再設計した新しい形のファイアウォール。既存のファイアウォールの焼き直しや機能の積み重ねとはまったく発想が異なるわけだ。

 現在、国内の次世代ファイアウォール市場におけるパロアルトネットワークスのシェアは、78.9%と圧倒的なシェアを誇る(富士キメラ総研、金額ベース)。まだ、市場はできはじめたばかりだが、今後急激な成長が見込まれる。

 次回は、なぜこうしたアプリケーション可視化と制御が可能になるのか? PAシリーズのアーキテクチャや高速な処理の仕組みについて、じっくり見ていこう。

この特集の記事