次世代ファイアウォールとは何か?--第3回:ファイアウォールの停滞と進化

富永康信(ロビンソン) 2009年01月30日 20時18分

  • このエントリーをはてなブックマークに追加

 ウェブブラウジングやメールがインターネット通信の主体であった時代は、ファイルのダウンロードやメールの添付ファイルを開封することでPCが乗っ取られるという、Pull型の脅威による被害が多かった。

 これに対し、最近はウェブメールやP2P、IM、SNSやブログといったインターネットアプリケーションが次々と登場し、情報漏えいや風評被害などPush型の被害が増加している。

次世代ファイアウォールに不可欠なベース

 そんな変化の中にあって、ポート番号とIPアドレスだけで制御する従来のファイアウォール基準は、次第にその存在価値を失いつつある。最近の新しいアプリケーションはさまざまなポートやプロトコルをネットワークで活用できるため、TCPレベルでは何を使っているのか把握することは困難になっているからだ。

 組織内で誰が何をしているのか、どのような情報が流れているのかが把握できないのは大きな問題といえる。

「この10年、ファイアウォールはアプリケーションの脅威に対応できるよう進化してこなかった」と語るクラリッチ氏 「この10年、ファイアウォールはアプリケーションの脅威に対応できるよう進化してこなかった」と語るクラリッチ氏

 そのため、ファイアウォールベンダーは侵入防御やアンチウイルス、スパムメール対策、VPNといった異なる技術を積層的に組み合わせていくことで、UTMという新たなソリューションに生き残る道を見出そうとしている。しかし、それとは別に、あくまでもファイアウォールにこだわり、これを軸に機能の拡張と強化をしていく道を選んだのがパロアルトネットワークス(以下、パロアルト)だ。

 チェック・ポイント・ソフトウェア・テクノロジーズの元エンジニアで、ステートフルインスペクション(※1)の発明者のひとりとして知られる異才ニール・ズック氏が設立メンバーとしてCTOを務めるパロアルトは、ポート、プロトコル、SSL暗号化といった企業のネットワーク上のアプリケーションを可視化し、コントロールする世界初のファイアウォールを開発した。ベンチャーである同社は、これを堂々と次世代ファイアウォールと称して、世界に打って出ている。

 日本市場への投入に先立ち、2008年12月に国内パートナーが主催するセミナーのために来日した、同社プロダクトマネジメントのバイスプレジデントを務めるリー・クラリッチ氏は、「アプリケーション、ユーザー、コンテンツという、通常であればファイアウォールとはあまり関連がないと思われる3つの要素が、実は次世代ファイアウォールに不可欠なベースになる」と述べる。

※1:ファイアウォールを通過するパケット情報を認識して、送信したデータをセッションログとして保管し、外部ネットワークから受信したパケットがセッションログと矛盾しないかを確認することで、動的にポートを開放、閉鎖する機能。パケットフィルタリング機能を無効化、あるいはパケットヘッダを偽装してセッションを確立しようとしている不正アクセスを自動的に遮断することでサーバへの攻撃を防ぐ。

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR