編集部からのお知らせ
新着PDF集:データセンターの省電力化
「これからの企業IT」の記事はこちら
ネットワークセキュリティの要諦

「悪意の内部ユーザー」へ対抗するファイアウォールの進化 - (page 2)

三輪 賢一(パロアルトネットワークス)

2014-10-27 07:00

 下図に示すゼロトラスト セキュリティ アーキテクチャのトポロジ(ネットワークの接続形態)において、中央の緑色のアイコンはネットワークセグメンテーションゲートウェイと呼ばれるもので、ファイアウォールやIPS、コンテンツセキュリティを統合した機器、つまり次世代のファイアウォールを指します。

 ネットワークセグメンテーションゲートウェイの周りに周りに“MCAP(Micro Core and Perimeter)”と呼ばれるセグメント化されたゾーンを作成し、MCAP内部では中央と同じセキュリティ機能とグローバルポリシーを持ちます。このような細かくセグメント化されたネットワーク(マイクロセグメンテーション)にして、コンプライアンス範囲や脆弱性対象範囲を狭めて、より強固なセキュリティを持つことが推奨されています。


ゼロトラストネットワーク アーキテクチャ

ゼロトラストモデルとファイアウォールの進化

 ゼロトラストモデルのマイクロセグメンテーションを実現できる次世代のファイアウォールですが、その定義は2009年10月に米国のITアドバイザリ企業であるGartnerがリリースしたレポートに記載されています。当時のほとんどのファイアウォールベンダーは統合脅威管理(UTM)と呼ばれる、ネットワークの状態をチェックし動的にポートを開閉できる「ステートインスペクションファイアウォール」をベースにした製品を提供していました。

 このレポートでは従来型ファイアウォールを第1世代のファイアウォールとし、これにより提供されるフィルタリング「ステートフル プロトコル フィルタリング」や限定的なアプリケーション検知では現在(当時)の脅威や新しい脅威に対応しきれない、と言っています。従来型ファイアウォールと異なるアプローチとなる次世代ファイアウォールについては「外部から内部だけでなく、内部から外部も含む双方向の攻撃を検知し、アプリケーション単位のセキュリティポリシーを実現できるもの」としています。両社の具体的な違いは以下の表になります。


ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]