データの中身までチェックすることで、例えば病院で医療ネットワークから患者情報が漏れないようセキュリティポリシーを設定することができます。工場ネットワークでは、制御系のアプリケーション通信以外を全てブロックするといったことが可能になります。
ファイアウォールの役割を拡張
1990年代後半に登場したファイアウォールアプライアンス(以下、ファイアウォール)は、もともと2つまたは3つのセキュリティゾーンを分けるためのものでした。外(インターネット)と中(組織内)の2つか、それにウェブサーバなどの外部に公開するサーバがあり、外と中から隔離された「DMZ」を加えた3つです。
当時のファイアウォールは物理的なケーブルを指すポートが2つまたは3つあり、それぞれに、WANまたはUntrusted(=インターネット)、LANまたはTrusted(組織内)、DMZと用途別に印字がしてあるものもありました。
今では、組織内のネットワークがTrusted、つまり信頼されているとは言えなくなりました。組織内に侵入したマルウェアが、ネットワーク内部で攻撃、拡散し、情報を抜き取ろうとしますし、意図的な内部犯行が起きる可能性もあります。
単純に内部と言っても、情報の機密度やシステムの重要度はさまざまです。そのため、現在のファイアウォールは多数の物理ポートを搭載し、例えば部署ごとのように、内部をいくつかのセキュリティゾーンに分けるよう設定し、ゾーン間の通信を検査することにより、内部ネットワークにおけるマルウェアの活動を発見や防御したり、機密情報を管理することができます。
仮想ネットワークを守るには
VLANは規格として時代遅れになってきています。VLANの設定はネットワーク機器ごとに設定する必要があり、設定変更が容易ではありません。またVLANによってセグメント化できる上限は約4000で、一部の大規模ネットワークでは足りなくなってきています。さらにサーバの仮想化が進みネットワーク内のMACアドレスが増え、既存のスイッチが取り扱える数を超え始めています。
これらの弱点を補うため、SDNと呼ばれる最近のネットワークアーキテクチャでは、SDNコントローラーと呼ばれる集中管理システムからネットワーク機器をリモートで設定することにより、VLAN構成のより簡単で柔軟な変更や、さまざまな制御の自動化をできることが期待されています。