内部統制の監査にも通信ログが使える
ファイアウォールの機能の中でも、その重要性が再認識されているのがログ機能だ。昔は、通信量の多い大きな組織の場合、ファイアウォールのログは1日でギガバイトの単位の容量になるため、ログをとっていない企業も少なくなかった。
中には、ログの情報量が大きくなるため、通過させた通信の記録は残さず、通過を許可しなかった記録だけを残しているケースも少なくない。しかし、通過させた通信ログの方が、セキュリティ上重要なのだと理解されるようになった。その理由は、内部から外部へ、様々な不正な通信が出ていくことがあるからだ。前回述べたように、侵入したワームやウイルスがインターネットにアクセスするのである。
リアルタイムにログを見ていると、たとえば特定のクライアントからSMTP(ポート:25)でランダムな宛先に通信が行われているのを見つけるかもしれない。そんな場合、ウイルス感染の疑いが濃い。そのような時に通過した記録をとっていれば、組織内で最初に感染したクライアントを特定するなど、インシデントのトレースに極めて有用だ。だから最近は、通信のログを最大限、残しておく組織が増えている。
内部統制にもファイアウォールのログは有用である。たとえば基幹サーバをファイアウォールで保護して通信ログをとり、定期的にチェックできるようにしておけば、内部統制の監査に使える。ファイアウォールは何かと役に立っているのだ。
次回からは、次世代ファイアウォールとは何かについて考えてみよう。