Amazon Web Services(AWS)のファイアウォールは機能が限られており、最新の企業向けファイアウォールには遠く及ばない。強固なセキュリティを確保するには、サードパーティーやオープンソースの選択肢を検討する必要がある。
ネットワークセキュリティの中核を担うファイアウォールは、企業が直面する脅威の変化に対応して機能や性能の向上が頻繁に行われている。新しいファイアウォールは、ネットワークトラフィックの挙動やプロトコル、アプリケーションレイヤーデータを分析できる。
しかし、企業は米Amazon Web Servicesのクラウド「Amazon Web Services」(AWS)にリソースを移行すると、利用できるファイアウォールオプションの数や種類が限られることに気付くはずだ。本稿では、AWSのビルトインファイアウォールの他、クラウドのネットワークセキュリティを確保するためのサードパーティーやオープンソースの選択肢を見ていく。
AWSのビルトインファイアウォールは、セキュリティの専門家にとってはかなり物足りない。例えば、Amazon EC2内でファイアウォールルールを作成するには、「セキュリティグループ」を作成する。セキュリティグループとは、EC2インスタンスに適用可能なファイアウォールルールセットを表すのだが、企業は各セキュリティグループにインバウンドルールしか設定できない。
Amazon Virtual Private Cloud(VPC)サービスを利用していれば、インバウンドとアウトバウンドの両方のルールを作成できるが、これは高くつく。VPCサービスは料金が高いからだ。
検査に関しては、IPオプションが設定されたパケットを全てフィルタリングし、パケットの基本的なフラグメンテーションを処理し(ただし、攻撃者が侵入検知システムを妨害するためにしばしば作成する特殊なフラグメントは許可する)、単純なステートフルフィルタリングを行う。
しかし、AWSファイアウォールのどのルールでもロギングは利用できない。これは大きな欠点だ。ほとんどのネットワークチームやセキュリティチームは、侵入検知や分析のためにログを欲しがるからだ。ログは単体で、あるいはセキュリティイベント管理ツールで使われる。
AWSファイアウォールは、一部の利用シナリオでは十分と考えられるかもしれない。だが、セキュリティの専門家は、AWSネットワークの他のセキュリティオプションを選択するだろう。
AWSと統合できるサードパーティーのネットワークファイアウォールはほとんどないが、イスラエルのセキュリティベンダー、Check Pointは「Check Point Security Gateway R75」をAWS Marketplaceと統合している。これは、VPC環境をセットアップしようとしている企業が、新しい仮想Check Pointファイアウォールを作成し、自社のプライベートクラウドと統合できることを意味する。
しかし、Check Point Security Gateway R75はVPCにしか対応しておらず、スタンドアロンのEC2インスタンスとともに利用することはできない。
このCheck Pointファイアウォールは、ステートフルトラフィックの検査とコントロール、アプリケーションとプロトコルの分析ルール、VPN接続といった機能を提供し、従来のCheck Pointデバイスとそっくりに動作する。AWSのさまざまなインスタンスタイプと統合できる他、モジュール化されたセキュリティ機能セットを提供するCheck Pointの「Software Blade」機能もサポートしている。
今のところ、ファイアウォール分野の成熟したベンダー製品の中でAmazon Marketplaceと完全に統合されているのは、このCheck Point製品しかない。米Cisco Systemsと米Juniperは、まだAWS Marketplaceで製品を提供していない。ただし、両社とも仮想ファイアウォールプラットフォーム「Cisco ASA 1000v」「Juniperv GW」は提供している。
従って、Check Point製品を除いて考えると、Amazon EC2にネットワークファイアウォールをインストールするためには、オープンソースソフトウェアを使って独自のソリューションを開発しなければならない。
英Smoothwallは、オープンソース製品と商用製品の両方を扱っているベンダーだ。パケットフィルタリング、Webフィルタリング、電子メール保護といった機能を1つのパッケージで提供しており、ソフトウェアベースの商用オプションを、Amazonイメージに直接インストールできる形で、また、EC2に直接インポートできるVMwareイメージとして提供している。
もう1つのオープンソースのオプションとしてはOpenwallがある。Openwallでは、ファイアウォール機能などのセキュリティオプションを、仮想マシンとしてインストールしてAmazonにインポートできるプラットフォームとして提供している。
Amazon EC2のネットワークベースセキュリティを強化するために、多くの企業がホストベースのファイアウォールを利用するようになっている。このタイプでは仮想マシンのネイティブOSのファイアウォールに加えて、Security as a Service(サービスとしてのセキュリティ)プロバイダーによって管理されるファイアウォールシステムを併用することが可能だ。
そうしたプロバイダーの1社である米CloudPassageは、エージェントソフトウェアと管理プラットフォームから成る「Halo」を提供している。Haloは制限付きで無料で利用できるが、構成の監視・管理、脆弱性評価、ユーザーアカウント管理などの機能を利用できる有料プランも用意されている。既存のLinuxやWindows上のファイアウォールなどからエージェントが収集する情報を使って、集中管理の簡素化や、ロギング、アラートなどの機能を提供する。
今後は商用ファイアウォールプロバイダーが自社製品をAWSなどのクラウドに対応させる動きが進みそうだが、少なくとも今のところは、企業が利用できるファイアウォールの選択肢は少数にとどまっている。
セキュリティの専門家は、強固な「多重防護」の実現をクラウド環境では常に目指すことが重要だ。パブリックなIaaS(Infrastructure as a Service)クラウドに置かれている資産は、保護が必要なインターネットや内部ネットワークにさらされているからだ。
機能が限られたAWSのネイティブファイアウォールは、最新の企業向けファイアウォールプラットフォームには遠く及ばないことを、多くの企業はまだ理解していないかもしれない。より高機能な仮想ファイアウォールインスタンスや、ホストベースのフィルタリングおよび検出技術を追加することで、安全対策は大幅に強化できる。
Copyright © ITmedia, Inc. All Rights Reserved.
IBM i 基幹システムを運用する企業でモダナイゼーションが喫緊の課題となる中、推進の課題も多い。そこで、「クラウド」「ノーコード開発」「API」「AI」を主軸とするIBM i ユーザー向けモダナイゼーションサービスを紹介する。
小売業界にとって、顧客体験(CX)、従業員体験(EX)の向上ならびにDX推進は重要度の高い課題である。多拠点、多店舗、他業態を展開する小売業でCXとEXをグローバルに向上する次世代のリテールコマースプラットフォームとは。
ロッテはシステムのAWS移行を進める中、DX推進の鍵は内製化比率の向上にあると考え、内製化の強化に踏み切った。本資料では、内製化の実現に向け、支援を受けながら、初めて取り組んだAWS開発と人材育成を成功させた事例を紹介する。
大容量データの送受信には、通信遅延や帯域制限の課題がある。本資料では、高速で安全なデータ送信を実現できるファイル転送プラットフォームを紹介する。導入時に気になるポイントとともに、料金プランも分かりやすく解説している。
SaaSの利用が拡大する中、ベンダー側と企業側の両方がさまざまな課題を抱えている。ベンダー側は商談につながるリードが獲得しにくいと感じており、企業側は製品の選定に困難さを感じているという。双方の課題を一掃する方法とは?
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...