従来のファイアウォールの問題点とは？ ゼロトラストによる解決策も紹介

ファイアウォールとは、ネットワーク上の防火壁の役割があります。設置場所は、インターネットと内部ネットワークの境界です。一定の条件に基づき異常を検知し、外部からウイルスなどが不正侵入することを防いでくれます。

独立した専用機器やルーターに内蔵されているものなど様々ありますが、小規模ネットワークや家庭などではルーターに内蔵されている機能を利用し、中・大規模ネットワークでは専用機器を利用することが多いようです。

ファイアウォールの仕組みとは

コンピューターにはポートという出入り口があり、サーバーごとに0から65535番まであります。ソフトウェアごとに決まったポートを利用して通信します。

ファイアウォールはこのポートごとに設定され、正しい通信を判断し、不正な通信は遮断する仕組みです。働きとしては、外部からの不正侵入防止と内部からの機密情報の流出防止があります。また、IPアドレスを特定されないよう変換することでも侵入や流出を防いでいます。

ファイアウォールには、外部からの不正アクセスや、社内の機密情報が流出することを防ぐ役割がありますが、デメリットも存在します。ここでは3つの問題点を見ていきましょう。

1.Webアプリの脆弱性を狙った攻撃に弱い

例えば、ECサイトは専門的な技術や知識がなくてもWebサイトを立ち上げ、コンテンツの編集が可能なCMSを利用して構築されます。CMSに連携した複数のシステムやデータベースは、CMSに備わっているサポート機能を受けることができず、Webサイトの脆弱性が発生してしまいます。このWebサイトの脆弱性を狙った攻撃はファイアウォールでは防げません。

2.ポリシーや脆弱性を狙った攻撃に弱い

ファイアウォールのタイプは大きく分けて2つです。

• パケットフィルタリングタイプ
• アプリケーション・ゲートウェイタイプ

それぞれ弱点があり、特定の攻撃を防ぎきれません。パケットフィルタリングタイプは、パケットヘッダー（プロトコル、送信元、ポート番号、送信先アドレス）を確認して社内ネットワークへ通してよいか判断します。つまり、パケットヘッダーがポリシーに反していなければ、中身に不正データが含まれていても社内ネットワークに侵入できてしまうのです。

3.非武装地帯（DMZ）を狙った攻撃に弱い

非武装地帯（DMZ）とは、外部ネットワークと社内ネットワークの間に作られるネットワーク上のセグメントのことです。ファイアウォールによって隔離された場所であるDMZに、公開用のWebサーバを設置することで、社内ネットワークの安全性を高められます。

しかし、DMZ内の公開用Webサーバは、外部からのアクセスを許可する必要があるため、一般ユーザーがアクセスできるようなポリシーの設定となっています。そのため、ファイアウォールによって社内ネットワークとDMZを隔離しても、DMZ内の公開用Webサーバ自体の安全性を高めることができません。

ファイアウォールだけではすべての攻撃を防ぐことはできません。そこで、ファイアウォールと組み合わせることでセキュリティリスクを軽減できるシステムを紹介します。

1.IDS（Intrusion Detection System）

IDSとは、不正侵入検知システムとも呼ばれる仕組みです。ネットワーク上に公開しているWebサイトにアクセスしてくる通信は、正当なデータ要求だけではありません。不正侵入しようとする悪意を持った通信もあります。

ファイアウォールによって接続を許可された通信の中に、異常な通信がないか監視する役割があり、異常を検出すると、システム管理者へ通報します。この通報を受けて、管理者は通信のブロックなどのセキュリティ対策が必要か判断、実行するのです。

2.IPS（Intrusion Prevention System）

IPSとは、不正侵入防止システムとも呼ばれる仕組みです。IDSと同様にファイアウォールによって接続を許可された通信の中に異常な通信がないか監視します。IDSと異なる点は、異常な通信を検知した際に、異常な通信を遮断してシステム管理者へ通報することです。IDSよりも自動化されて1段階進んだ対策が可能ですが、異常の検出精度を100%にすることは難しいため、用途や状況によって使い分けることが大切です。

3.WAF（Web Application Firewall）

WAFとは、通常のファイアウォールでは防ぎきれないWebアプリケーションに対する攻撃に特化したセキュリティ対策です。顧客情報やクレジットカード情報などのやり取りが発生する、ネットショッピングやインターネットバンキング、ゲームなどのWebサービスを対象にセキュリティ保護を行います。攻撃の検知にはアクセスパターンを記憶しているシグネチャを利用します。

4.UTM（Unified Threat Management）

UTMとは、統合脅威管理とも呼ばれる機器のことです。ファイアウォールやアンチウイルス、コンテンツフィルタリング、IPS、IDSなどのセキュリティ機能を1台にまとめた機器です。UTMを取り入れれば、個別で機器を導入するコストの削減や、管理の手間を減らすなどのメリットがあります。

しかし、個別で機器を導入する場合と比較すると、ネットワーク性能面で物足りなさを感じることもあるため、自社に必要な機能を提供するベンダーを選ぶことが大切です。

ゼロトラストセキュリティモデルを取り入れることは、これまで企業が抱えていたセキュリティリスクの問題を解決することに大きく役立ちます。ここでは、ゼロトラストセキュリティを実現するために必要なセキュリティソリューションを紹介します。

1.EPP（Endpoint Protection Platform）

EPPとは、エンドポイント保護プラットフォームとも呼ばれるソリューションです。自社のシステム自体ではなく、アクセスするための端末を保護します。サイバー攻撃によるマルウェアやランサムウェアなどが端末に侵入することを防ぎます。

後述するEDRとは異なり、脅威が侵入する前に防御できることが特徴です。AV（アンチウイルスソフト）とNAGV（Next Generation Anti-Virus）などがあります。

2.SOAR（Security Orchestration, Automation and Response）

SOARとは、セキュリティ運用における効率化や自動化を実現させるためのソリューションです。インシデント発生時の対応を自動化できます。インシデント発生時のプロセスを、前もってプレイブックとして定義しておくことで、SOARはその内容に沿って情報収集や調査、状況報告を行います。

SOARを利用することで、セキュリティ部門はより高度な知識が必要なインシデント対応にリソースを割くことができるでしょう。

3.IAM（Identity and Access Management）

IAMとは、認証と認可の設定を行い、IDとアクセス管理を適正に行うためのソリューションです。消費者のIDを管理するIAMを「CIAM」、企業の従業員IDを管理するIAMを「EIAM」と呼びます。CIAMは、自社のWebサービスを利用する消費者のIDを統合・管理するために利用されます。EIAMは、企業内で利用するアプリやパソコンにログインするための、ユーザーIDを一元管理するために利用されます。

4.EDR（Endpoint Detection and Response）

EDRとは、エンドポイントセキュリティ対策のためのソリューションです。脅威が侵入する前に防御するEPPとは異なり、EDRは攻撃の早期検知や経路・影響範囲の調査が目的です。つまり、脅威が侵入してしまったときに迅速な対応により被害の拡大を抑える役割があります。

サイバー攻撃の手法が高度化し、従来のセキュリティソリューションでは防ぎきることが難しくなってきたため、入り口での防御対策だけではなく、侵入してしまったことを想定した対応策として注目が集まっています。

5.CWPP（Cloud Workload Protection Platform）

複数のクラウドサービスにおけるワークロードを一元管理し、監視・保護するソリューションです。企業が利用しているクラウドサービス全体のガバナンス強化に役立ちます。ワークロードとは、クラウド上の仮想マシンやデータベース、アプリケーション、コンテナを指します。セキュリティチェックや検知を自動化できるため、セキュリティ担当者の負担を削減できるでしょう。

まとめ

本記事では、ファイアウォールの問題点をはじめ、セキュリティ向上のために組み合わせたいシステムや、今後必要性が高まるゼロトラストセキュリティの各ソリューションについて順番に紹介しました。リモートワークの推進やクラウドサービスの利用が増える中、セキュリティリスクを軽減するためにはゼロトラストの考えを取り入れていく必要があるでしょう。