機能しないファイアウォール
「企業内のファイアウォールは全く機能していない」――そう語るのは、Palo Alto Networksの共同創業者で最高技術責任者(CTO)のNir Zuk氏だ。
同社発行の文書「アプリケーション利用とリスクに関する報告書 2009年春季版」によれば、約60社にPalo Alto Networksのファイアウォールを設置し、約90万ユーザーのアプリケーション利用実態を調査したところ、検出された494種類のアプリケーションの57%が80番(HTTP)、443番(HTTPS)、あるいはポートホッピング手法を使ってセキュリティインフラをバイパスして通信していたという。
Palo Alto Networks 共同創業者兼CTO Nir Zuk氏
一例を挙げてこの調査結果を説明するならば、社内でインスタントメッセンジャー(IM)の私的利用を制限している場合でも、ブラウザベースのIMで回避していることを意味する。会社でIMが禁止されたので、Google Talkの代わりにGmailのチャット機能を、米国のYahoo! Messengerの代わりにmeeboを使うといったイメージだ。
仕事に有用であるかどうかの中間に存在するアプリケーションの場合は、利用の価値判断がさらに難しくなる。Google Docsを使ってドキュメントを作成するスタッフもいれば、宅ファイル便を使って取引先にファイルを送る社員もいる。しかし、同報告書では「コンプライアンスの欠如などのビジネスリスクと、脅威を増殖させるなどのセキュリティリスクの可能性があり、企業環境ではサポートされにくい」と結論づけている。
今回の調査では、対象企業の100%がファイアウォールを導入しており、87%の企業がプロキシやIPS、URLフィルタリングなどのファイアウォールを補強する製品を使用している。冒頭のZuk氏の言をもう一度読み返してみよう。
「企業内のファイアウォールは全く機能していない」
UTMは技術革新ではない
以前掲載した「次世代ファイアウォールとはなにか?」という特集では、第2回「そもそもFWとは何かを考える」で「UTM(Unified Threat Management)」を紹介した。しかし、Zuk氏はUTMを「決して技術革新ではない」とばっさり斬り捨てる。
