ファイアウォール抜きのセキュリティ――合理的か、はたまた無謀か？：Case Study

6000人以上のユーザーを抱えるSDSCでは、ファイアウォールなしでも受けた攻撃は6年間でわずか1件。あえてファイアウォールを使わない同社のセキュリティ手法とは？

[TechTarget]

　情報セキュリティ分野の専門家たちは何年も前から、大企業のコンピュータシステムであれ家庭ユーザーのPCであれ、ファイアウォールはセキュリティに不可欠であると主張してきた。しかしサンディエゴ・スーパーコンピュータセンター（SDSC）では、この論理に反するアプローチを採用して大きな成功を収めている。

　同社でコンピュータセキュリティ担当マネジャーを務めるエイブ・シンガー氏によると、ファイアウォールに関して「恐ろしい真実」が存在するという。ファイアウォールはパフォーマンスを低下させ、障害の連鎖を引き起こしやすく、ネットワーク上で1つのルールを変更すると、ほかの場所にセキュリティ・ホールが出現する可能性があるというのだ。同氏の同僚が以前、ファイアウォールのルーチンテストを実施したところ、数カ所のポートが開いたままだった。しかし最大の問題は、ファイアウォールの内側にいるユーザーを信用できないことだという。

　「ユーザーが社内で行う不正は、ファイアウォールで防ぐことはできない。わたしが銀行から金を盗もうと思えば、ファイアウォールを突破しようとしたりはしない。郵便物仕分け室のスタッフとして銀行に就職するだろう」とシンガー氏は話す。

　そうは言っても、なぜSDSCはファイアウォールを使用しないのか。ファイアウォールを使えば、セキュリティを一層強化できるではないか――そんな疑問を抱く人もいるだろう。これに対してシンガー氏は、「1つには、同社のセキュリティインフラはファイアウォールなしでも十分に強力だということがある」と説明する。また、オープンにしておく必要がある環境では、ファイアウォールはメリットよりも、トラブルの要因としてのデメリットの方が大きいという。スーパーコンピューティングリソースを利用する科学技術研究では、一般的には閉鎖されるようなポートを使用しなければならないことが多いからだ。

　情報セキュリティ分野の専門家たちは何年も前から、大企業のコンピュータシステムであれ家庭ユーザーのPCであれ、ファイアウォールはセキュリティに不可欠であると主張してきた。しかしサンディエゴ・スーパーコンピュータセンター（SDSC）では、この論理に反するアプローチを採用して大きな成功を収めている。

　SDSCのセキュリティ技術グループでコンピュータセキュリティ担当マネジャーを務めるエイブ・シンガー氏は、先ごろ開催された2006 USENIX Annual Technical Conferenceにおいて、企業はファイアウォール抜きでも強力なセキュリティを維持できることについて説明した。同氏は、この問題に関するプレゼンテーション資料（PDFファイル）も用意した。

　シンガー氏によると、ファイアウォールに関して「恐ろしい真実」が存在するという。ファイアウォールはパフォーマンスを低下させ、障害の連鎖を引き起こしやすく、ネットワーク上で1つのルールを変更すると、ほかの場所にセキュリティ・ホールが出現する可能性があるというのだ。同氏の同僚が以前、ファイアウォールのルーチンテストを実施したところ、数カ所のポートが開いたままだった。しかし最大の問題は、ファイアウォールの内側にいるユーザーを信用できないことだという。

　「ユーザーが社内で行う不正は、ファイアウォールで防ぐことはできない。わたしが銀行から金を盗もうと思えば、ファイアウォールを突破しようとしたりはしない。郵便物仕分け室のスタッフとして銀行に就職するだろう」とシンガー氏は話す。

　そうは言っても、なぜSDSCはファイアウォールを使用しないのか。ファイアウォールを使えば、セキュリティを一層強化できるではないか――そんな疑問を抱く人もいるだろう。これに対してシンガー氏は、「1つには、同社のセキュリティインフラはファイアウォールなしでも十分に強力だということがある」と説明する。また、オープンにしておく必要がある環境では、ファイアウォールはメリットよりも、トラブルの要因としてのデメリットの方が大きいという。スーパーコンピューティングリソースを利用する科学技術研究では、一般的には閉鎖されるようなポートを使用しなければならないことが多いからだ。

　シンガー氏によると、あらゆるポートにトラフィックの通過を許すファイアウォールは何の防御にもならないのに対し、トラフィックの通過を許さないファイアウォールは外部からの攻撃に対する防御にはなるが、それ以外の攻撃には弱いという。「ファイアウォールは一部のトラフィックの通過を許可する必要があるが、ファイアウォールの内側でトラフィックを受信しているマシンに脆弱性があれば、そのマシンが攻撃される可能性がある」とシンガー氏は指摘する。

6年間で攻撃は1件

　SDSCでは、約6年間で経験したセキュリティ侵犯は1件だけである。「数千台のマシンが稼働し、全世界で6000人以上のユーザーがいる組織にしては、非常に優秀な成績だ」とシンガー氏は話す。この6000人のユーザーのうち、社内のユーザーは約300人にすぎない。そのほかのユーザーは、世界各地のほかの組織に所属する。

　同社における唯一の侵入事件は2年前に起きた。16歳のハッカーが、乗っ取ったマシン上でソフトウェアを使って、パスワードやログインデータなどを盗み出そうとしたのだ。乗っ取られたコンピュータがSDSCのネットワークにログインしようとしているユーザーを探し出し、ハッカーはこのユーザーの後を追って侵入を果たしたのだ。

　同社のスタッフがログをチェックしたとき、このハッカーは侵入するマシンを探してネットワークをうろついているところだった。ハッカーはすでに、侵入可能なマシンを何台か発見していた。これらのマシンは、パッチは適用済みであったが再起動されていなかったのだ。後に分かったことだが、この攻撃は、多数の組織を狙った大規模な活動の一部であった。

　「この攻撃の場合、ファイアウォールがあっても結果は同じだっただろう」とシンガー氏は話す。

　「ハッカーは信頼されたユーザーと同じ方法でネットワークに侵入し、システムには両者の区別がつかなかった。ファイアウォールでも侵入を防ぐことはできなかっただろう。侵入後のハッカーの行動によって、われわれは侵入者の存在に気づいた」（シンガー氏）

　シンガー氏によると、セキュリティに対するSDSCのアプローチは、この攻撃の規模を抑制するとともに、攻撃を受けたほかの組織よりも素早く復旧することを可能にしたという。

ファイアウォール抜きのセキュリティの条件

　シンガー氏が攻撃の規模抑制に役立ったとしているセキュリティ手法は、ホストベースのアプローチで、以下の条件を前提とする。

• コンピューティング環境を熟知していること
• 一元的な構成管理システムが存在すること
• 定期的かつ頻繁にパッチを適用すること
• 厳格な認証方式を採用すること（暗号化されていないパスワードは禁止するなど）

　「最も広く知られている攻撃、特にワームは、すでにパッチが提供されている脆弱性を利用してきた。中には、何カ月、あるいは何年も前からパッチが提供されているケースもある。パッチをこまめに適用することで、たいていの企業のセキュリティ問題の90％は解決できるだろう」とシンガー氏は話す。

　同氏によると、SDSCの環境では平文パスワードの禁止がとりわけ重要だという。同社のポリシーでは、傍受されて再利用される可能性のある平文パスワードなどを使用した認証プロトコルが、SDSCのトラステッドネットワークおよびそのほかのネットワークを通過することを禁じている。

　特権的アクセスを利用するには、ユーザーはアクセスを必要とする理由を説明し、利用規約に本人および上司が署名しなければならない。「ルートパスワードは、絶対に必要な場合にしか与えない。例えば、インストールプロセスでシステムコンソールにログインする必要がある場合などだ」（同氏）

　平文パスワードを用いたアカウントは、パスワードを収集するハッカー（2年前にSDSCのネットワークに侵入した16歳のハッカーもその1人だ）の攻撃にさらされやすい。このため、同社のポリシーは基本的に、こういったハッカーたちの成功の可能性を低くする。

神話をうのみにしない

　シンガー氏が採用した非ファイアウォール方式を一笑に付すセキュリティ専門家がいることも、同氏は知っている。しかし企業はファイアウォールに頼り過ぎであり、ばかげていると思えるほどのケースも多い、と同氏は指摘する。

　「効果的なネットワークセキュリティを実現するにはファイアウォールが必要だという神話が広く浸透しているため、ファイアウォールを配備していないと、何か間違ったことをしているのではないかと思ってしまう人が多い」と同氏は語る。しかし問題は、ファイアウォールによって誤ったセキュリティ意識が植え付けられることだという。

　「民間の研究所が、インフラの防御に重点を置いた総合的なセキュリティプランを策定するのを手伝ったことがある。彼らが雇い入れた新しいCTO（最高技術責任者）がファイアオールを導入したいという理由を聞いて驚いた。以前に勤務していた組織で同僚とセキュリティについて議論をしたとき、彼がファイアウォールを使用していないと言っても信じてもらえず、その結果、自分の評判が悪くなっていくように感じたからだというのだ」とシンガー氏は話す。

　それからしばらくして開かれたスタッフミーティングでそのCTOは、ファイアウォールを配備したので研究所はもうセキュアであると宣言した。「だが、実際にはそうではなかった。CTOの安全宣言の証拠を要求したスタッフもいた」とシンガー氏は振り返る。

ファイアウォールが有用なケースとは

　SDSCではファイアウォールなしでセキュリティを維持しているが、シンガー氏によると、ファイアウォールが有用であると思えるケースもあるという。しかしほとんどの組織では、時間とコストの90％以上をファイアウォールに注ぎ込んでいるが、この比率を5％以下に抑えるべきだとしている。

　「ファイアウォールによって防御層を追加することができるが、それはあくまで、何に対して防御するのかが分かっていることが条件だ。ファイアウォールは、プリンタや、場合によってはWindowsマシンなど、自身を防御することができないマシン向けだという見方もある」と同氏は話す。

　シンガー氏は、SDSCにおいても何度かファイアウォールを試したことを認めている。特に注目したのは、社外へのコネクションを許可し、社内へのコネクションは禁止するファイアウォールだったという。

　「このファイアウォールは、外部への露出をある程度減らす可能性がある。また、行儀の悪いマシンがネットワーク上のほかのマシンを攻撃するのを監視し、それを阻止するための要衝を提供するだろう」と同氏は話す。

　しかし結局のところ同氏は、長年にわたってSDSCをしっかりと守ってきたホストベースのセキュリティの代わりにファイアウォールを使用するつもりはないという。