編集部からのお知らせ
新着:記事選集「エッジコンピューティング」
PDF Report at ZDNet:「文章を書くAI」

次世代ファイアウォールとは何か?--第3回:ファイアウォールの停滞と進化 - (page 3)

富永康信(ロビンソン)

2009-01-30 20:18

WinnyをWinnyと認識することの重要性

 では、同社の次世代ファイアウォールはこの5条件をどのように満たしているのか。最新の「PA」ファミリでは、「App-ID」「User-ID」「Content-ID」によるコントロールが主要機能になるという。

 まず、アプリケーションを可視化するApp-IDは、アプリケーションプロトコルの検知とデコーディング、アプリケーションシグネチャ(痕跡)、ヒューリスティックとの組み合わせで実現する。

 現在750以上のアプリケーションを特定するシグネチャデータを持ち、それを基に直接アプリケーションを識別して許されたものだけを通す。シグネチャは毎週新たに追加され、特定できるアプリケーションの数を増やしているという。

 このApp-IDを使うことによって、オラクルやウェブ会議の「Webex」といった従来型のビジネスアプリケーションのほか、Winny、BitTorrent、ニコニコ動画など最新のイベーシブ性の高いパーソナルアプリケーションまで特定することができる。

 例えば、IMをサポートするチャットサイト「Meebo」をApp-IDではちゃんとMeeboと認識するのに対し、従来型のファイアウォールではHTTPもしくはSSLと認識してしまったり、Winnyやトンネリングアプリケーションの「TOR」も、「Any」もしくはポート番号で表示されてしまったりするという。

アプリケーションの包括的な可視化を実現するApp-ID(画像をクリックすると拡大します) アプリケーションの包括的な可視化を実現するApp-ID(画像をクリックすると拡大します)

 次に、User-IDによって全てのネットワークトラフィックと実際のユーザーをひも付けることができる。これは、Active Directoryと見えない形で統合することで、仮にユーザー名を詐称し、毎日異なるIPアドレスを使ったとしても、セキュリティポリシーを常に個人ユーザー、もしくは特定のユーザーグループに対して適用することが可能だ。

全てのネットワークトラフィックと実際のユーザーをひも付けるUser-ID(画像をクリックすると拡大します) 全てのネットワークトラフィックと実際のユーザーをひも付けるUser-ID(画像をクリックすると拡大します)

 さらに、アプリケーション、ユーザーを特定した後は、Content-IDによってデータ、脅威、URL別にコンテンツのスキャニングを行う。1つのパスを適用したストリームベースのシグネチャエンジンを使うことで、リアルタイムに全てをスキャニングすることを可能にする。

ストリームベースでコンテンツのスキャニングを行うContent-ID(画像をクリックすると拡大します) ストリームベースでコンテンツのスキャニングを行うContent-ID(画像をクリックすると拡大します)

 これは、ファイルプロキシを活用する他のUTMやゲートウェイ、アンチウイルスなどのコンテンツスキャニング製品では実現が難しいという。社会保障番号(SSN)やクレジットカード番号、ファイルタイプも定義に基づいて特定し、脆弱性の悪用、ウイルス、スパイウェアなどの脅威の発見や、URLをクラシフィケーションすることでユーザーが閲覧できるWebサイトを制限することもできる。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]