2011年05月18日 09時00分 UPDATE
特集/連載

ネットワーク向け防御だけでは不十分新手のセキュリティ脅威に対するファイアウォール配備シナリオ

アプリケーション攻撃および新たなマルウェアに対抗する最適なファイアウォールの配備シナリオを紹介する。

[Anand Sastry,TechTarget]

 企業のITシステムでは伝統的にファイアウォールが防御の最前線に配備され、インターネット上の脅威から資産を防御している。

 多くの場合、ファイアウォールはゲートキーパーとしての役割を果たし、企業が必要だと見なすインターネット上のサービスだけにアクセスできるように制限している。基本的なレベルでは、資産をリストしたルール、そして特定の場所からのアクセスが許可されるサービスによってアクセスが制御される。これらのルールは資産の機能に基づいて決定される。

 一般に、企業は隔離されたネットワークセグメントに企業資産を置くことにより、インターネット上でアクセスできるサーバから企業資産を切り離す分割アーキテクチャデザインを採用してきた。このようなセグメントは従来、DMZ(DeMilitarized Zone)と呼ばれてきた。この隔離は、ファイアウォールのネットワークインタフェースをこれらのサーバ専用にすることによって実現される。DMZ内で運用されるサーバ以外の資産に直接アクセスすることは許可されない。通常、これらの資産としては、社内のワークステーション、重要なサーバコンポーネント(ドメインコントローラーなど)、電子メールサーバ、業務アプリケーションなどが含まれる。DMZセグメント内で運用される資産には、インターネット上でアクセス可能なアプリケーション(Webインタフェース、メールシステム、共有フォルダなど)が含まれる。DMZ上の資産と業務セグメント内の資産との間のアクセスは厳格にコントロールされる。

 このアーキテクチャと、企業のホステッド環境のアーキテクチャを比較すると、アクセス制御の手法において多くの共通点が存在することが分かる。ホステッド環境の例としては、サードパーティーがホストする企業の電子商取引プラットフォームなどが挙げられる。こういった環境では通常、DMZセグメントにWebヘッド(Webサーバ、アプリケーションサーバ、データベースサーバで構成される3階層アーキテクチャ内のWebサーバ)がホストされている。高トラフィック環境では、ロードバランサーがファイアウォールのインターネットインタフェースからの接続ハンドオフを全て処理し、最も負荷の少ないWebサーバにWebサーバへのトラフィックを振り分ける。アプリケーションサーバとデータベースサーバは、Web、アプリケーション、データベースの各階層間のアクセスを制限するアクセスルールが適用される別セグメントで運用される。

 どちらの環境においてもファイアウォールサーバは主要な防御メカニズムとして機能し、どの資産にアクセスできるかをコントロールすると同時に、ネットワーク層において攻撃に対する基本的な防御機能を提供する。この従来形式のファイアウォールでは、浸透力が強いタイプのセキュリティ脅威に対する防御が十分ではない。こういった脅威は一般に、従来型のファイアウォールが防御対象としてきたネットワーク(第3層)の領域よりもアプリケーション(第7層)内の脆弱性に関連したものだ。これらの脅威に対処するために、企業およびホスティング施設で使用される従来のファイアウォール製品に対して、アプリケーションへの攻撃およびマルウェアによる脅威にターゲットを絞った製品による強化が施されている。

 アプリケーション攻撃および新たなマルウェアに対抗する最新のファイアウォール配備シナリオを以下に紹介する。

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news126.jpg

The Trade DeskとWhite Opsが提携、アドフラウド対策のプラットフォームを提供開始
The Trade DeskはWhite Opsと提携を発表し、広告業界におけるアドフラウド対策のプラット...

news116.jpg

セブン&アイ・ホールディングス社長 井阪隆一氏らが語る「顧客の時代」
本稿では「Salesforce World Tour Tokyo 2017」から セブン&アイ・ホールディングス 代...

news091.jpg

グランドデザインの「Gotcha!mall」がDMA国際エコー賞を受賞
グランドデザインは、同社のスマートフォンオムニチャネルプラットフォーム「Gotcha!mall...