ファイアウォール抜きのセキュリティ――可能だが、理想ではない：Column

7月7日掲載「ファイアウォール抜きのセキュリティ――合理的か、はたまた無謀か？」に対してさまざまな反響が寄せられた。その幾つかを紹介する。

[TechTarget]

　ファイアウォール抜きで6年間に1件しか侵入がなかったという7月11日掲載の記事に対する読者の反応は、おおむね好意的だった。例えば、ジョージア州アトランタにある通信技術会社で技術サポートを担当する傍ら、情報セキュリティの学士号取得を目指して勉強中のスコット・エバンズ氏もその1人だ。同氏が以前勤務していた会社では、VPNコネクション／認証／ルーティングでファイアウォールアプライアンスを使用していた。ある日、このアプライアンスが故障し、その内側のユーザーも外側にいるユーザーも、会社のリソースに全くアクセスできなくなったという。

　「これは、ネットワークの防御をファイアウォールだけに頼っている企業の好例だ」とエバンズ氏は電子メールに書いている。同氏の見解では、企業は最も重要な資産の防護要件を示した強力なセキュリティポリシーも活用しなければならないとしている。このポリシーでは、ホストおよび認証方法の一元的管理を定めるとともに、ユーザー教育を強調する必要もあるという。

　ITプロフェッショナルたちによると、ファイアウォール抜きでも強固なエンタープライズセキュリティを実現することは確かに可能だという。それを実践したのがサンディエゴ・スーパーコンピュータセンター（SDSC）だ。

　とはいえ、ITプロフェッショナルたちは自社の環境からファイアウォールを取り払おうとしているわけではないようだ。

　彼らの意見は、先に掲載した記事に対して寄せられたものだ。この記事は、SDSCがファイアウォールを使用しなかったにもかかわらず、約6年間で1件しかセキュリティ侵犯が起きなかったことについて取り上げたもの。

　ボストンで開催された2006 USENIX Annual Technical Conferenceにおいて、SDSCのセキュリティ技術グループでコンピュータセキュリティ担当マネジャーを務めるエイブ・シンガー氏は、ホストベースのセキュリティ対策によって侵入を最小限に食い止めることができたと述べた。この対策は、一元的な構成管理システム、定期的かつ頻繁なパッチ適用、強力な認証ポリシー（平文パスワードの厳禁など）といった手法で構成されている。

　シンガー氏によると、ファイアウォールに関して「恐ろしい真実」が存在するという。ファイアウォールはパフォーマンスを低下させ、障害の連鎖を引き起こしやすく、ネットワーク上で1つのルールを変更すると、ほかの場所にセキュリティ・ホールが出現する可能性があるというのだ。さらに同氏は、ファイアウォールはネットワークの境界部の内側にいる、悪意を持ったユーザーから組織を防御することはできず、また、多くの企業がファイアウォールを信頼し過ぎるあまり、必要なほかの防御策をないがしろにしていると指摘した。

　読者の反応は、同氏の見解におおむね好意的だった。例えば、ジョージア州アトランタにある通信技術会社で技術サポートを担当する傍ら、情報セキュリティの学士号取得を目指して勉強中のスコット・エバンズ氏もその1人だ。同氏が以前勤務していた会社では、VPNコネクション／認証／ルーティングでファイアウォールアプライアンスを使用していた。ある日、このアプライアンスが故障し、その内側のユーザーも外側にいるユーザーも、会社のリソースに全くアクセスできなくなったという。

　「これは、ネットワークの防御をファイアウォールだけに頼っている企業の好例だ」とエバンズ氏は電子メールに書いている。同氏の見解では、企業は最も重要な資産の防護要件を示した強力なセキュリティポリシーも活用しなければならないとしている。このポリシーでは、ホストおよび認証方法の一元的管理を定めるとともに、ユーザー教育を強調する必要もあるという。

　それでもやはり階層型セキュリティシステムの一部としてファイアウォールを利用した方がいい、というのが大半の読者の意見だ。TechTargetのアンケート調査に回答した読者の80％近くが、「ファイアウォールは万能薬ではないにせよ、多層セキュリティシステムの重要な一部である」と答えた。「いかなる場合でもファイアウォールを使用すべきだ」と答えたのはわずか4％で、「ファイアウォールなしでも強固なセキュリティは実現可能だ」という回答は16％だった。

　ニューヨークに本社を置く新聞社、タイムズユニオンの運用マネジャー、ジェフリー・ウィルソン氏は、「ファイアウォールを配備するだけで安心してしまう人が多いというのがわたしの実感だ」と電子メールで述べている。

　「彼らは、ファイアウォールはネットワークセキュリティの万能薬のように思っているが、もちろんそうではない。インターネットに接続されたネットワークを適切に構成するために配備すべき多くツールの1つに過ぎないのだ」（ウィルソン氏）

　ウィルソン氏は多層防御（Defense-in-depth）理論の信奉者である。多層防御システムは、ファイアウォール、侵入検知システム（IDS）、パッチ、VLAN構成、プロキシサーバ、ウイルス対策、厳格なポリシーおよびポリシーを適用するためのツールなどで構成される。「ファイアウォール抜きでもネットワークを十分に防御することができるかと言えば、たぶんできるだろう。しかしそれで言えば、ニューヨークからロサンゼルスまで飛行機を使わずに歩いて行くことだってできる。でも、なぜわざわざそうしなければならないのだろうか」と同氏は話す。

　ボストン在住のITプロフェッショナル、ジム・ワイラー氏によると、ファイアウォール抜きのアプローチを実現しやすいのは、マシンの数が100台未満で、構成の種類が少なく、インターネットアクセスポイントも少ない小規模な環境だという。しかし同氏は電子メールによる投書で、電子商取引サイトなどの大規模環境における階層型防御では、ファイアウォールは「貴重な追加防護」を提供すると述べている。実際、コンプライアンス（法令遵守）のためにファイアウォールを配備することが義務付けられている企業もある。

　「ファイアウォールの配備は、PCI（Payment Card Industryデータセキュリティ基準）の要件となっており、デューケア（相当な注意義務）かつ基本的慣行と見なされている。つまり、企業の責任を軽減する意味でもファイアウォールが必要とされるのだ」とワイラー氏は話す。同氏は、Open Web Application Security Project（OWASP）のボストン支部の責任者を務める。