「今日のファイアウォールは、文書化されていないうえに日々更新されるプロトコルを相手にしなければならない」――マーカス・J・レイナム氏インタビュー
ファイアウォールや侵入防御システムなどのセキュリティソリューションを利用すれば、危険な行為をしても大丈夫だと考えているユーザーは多いようだ。米テナブルセキュリティのセキュリティ責任者、マーカス・J・レイナム氏は、プロキシファイアウォールの発明者である。同氏によると、危険な行為を慎み、ネットワークを通過することが許されるアプリケーションのデザインを改善することが、基本的なソリューションだという。同氏へのインタビューを2回に分けてお届けする。
―― あらゆる企業は、何らかのタイプのファイアウォールを導入済みだと思われます。企業内ネットワークの外辺部は、もう十分にセキュアだと考えていいのでしょうか。
レイナム いいえ。実際には、状況は悪化しています。第一世代のファイアウォールがかなりの効果を上げたのは、仕様が明確に定められた少数のアプリケーションプロトコルしか通過することを許されなかったからです。今日のファイアウォールは、若者が週末を利用して作成したプロトコルや、一獲千金を狙う企業が開発した独自のプロトコルを相手にしなければなりません。こういったプロトコルは文書化されておらず、仕様も全く定められていないのですが、ビジネスにとって重要だと見なされているために、ファイアウォールを通過することが許されているのです。
―― この問題に対して、どういった改善の取り組みや、新タイプのファイアウォールの開発が進められているのですか。
レイナム すべての境界セキュリティ処理機能を単一のデバイスに統合することが、はっきりとしたトレンドとなっています。ファイアウォールは、非常に初期の段階でVPNコンセントレーターが統合され、ファイアウォール搭載VPNエンドポイントに進化しました。現在、侵入検知システムのシグネチャ処理機能が追加され、侵入防御システムと呼ばれるようになりました。いずれ、より強力なコンテンツフィルタリング機能を備え、スパムやトロイの木馬、VoIPスパムをブロックするファイアウォールが登場すると思います。しかしファイアウォールの根本的なブレークスルーにつながるような展開は見られません。先ほども言いましたように、より複雑なプロトコルがファイアウォールを通過するようになったことで、ファイアウォールをめぐる状況は悪化しつつあります。ファイアウォールが本来の能力を取り戻すためには、われわれの考え方を変えるしかありません。つまり一歩後ろに下がり、「暗号化されたHTTPリンクを通じたリモートプロシージャコールはセキュリティを確保するのが難しいので、これを使うのをやめよう」と言えばいいのです。しかし、そのようなことは起きないでしょう。市場の圧力が存在するからです。
ユーザーは技術的に未熟なものを押し付けられているのです。その最たる例がワイヤレスセキュリティです。人々は今、すでに配備した大規模なワイヤレスインフラのセキュリティが悲惨なものであることに気づき始めています。明晰な頭脳を持った技術者であれば、これは何とかしなければならない状況だと認識していたでしょうが、必要な技術が存在しなかったのです。ベンダーが製品の基本機能としてセキュリティを提供しなかったのは、ユーザーが「それがなければ買わない」と言わなかったからです。
本当の答えは、保守的なセキュリティ専門家たちがずっと言い続けてきたように、ネットワーク上で何が起きているのかを理解しなければならないということです。そして、ネットワーク上で起きていることをビジネスミッションに結び付ける必要があります。また、ビジネスミッションを実現するために利用するものを必要最小限にとどめることが肝要です。たとえそれが、従業員のデスクトップからWebサーフィンができなくなることを意味するとしても仕方がありません。唯一の接続形態が電子メールの送受信というような企業では、セキュリティ問題がずっと少ないでしょう。添付ファイルのある電子メールは受け付けないという方針を打ち出すだけでも、電子メールに関連した問題の大半が解消されます。
―― フォレスターリサーチの最近の調査によると、半数近くの企業がクライアントコンピュータにパーソナルファイアウォールを導入する計画です。これはファイアウォールにとって新たなフロンティアなのでしょうか。
レイナム いい傾向だと思いますが、実際に状況の改善にどの程度貢献するのかは分かりません。コンピュータのセキュリティには、汚れた大きな秘密が隠されており、業界全体がこの10年間、それを無視してきたのです。これは推移的信頼関係の問題です。つまり、わたしがあなたを信頼していて、あなたがボブを信頼していれば、わたしは暗黙のうちにボブを信頼していることになるのです。つまり、あなたが信頼しているすべての人をわたしは暗黙のうちに信頼することになり、しかもわたしは、そのことを知りさえしないのです。そして、こういったWebアプリケーションやオンラインアプリケーションの多くは、終端にあるコンピュータが何らかのセキュリティを実装しているという前提に立っているのです。つまり、セキュリティ対策がエンドユーザーに任された形になっているわけです。これはあまりいい前提とは言えません。
本稿著者のマーカス・J・レイナム氏は、セキュリティシステムのデザインとインプリメンテーションの分野で世界的に著名な専門家で、テナブルセキュリティのセキュリティ責任者を務める。プロキシファイアウォールの発明者として、また最初の商用ファイアウォール製品の実装者として認められている。1980年代末以来、DEC SEAL、TISファイアウォールツールキット、Gauntletファイアウォール、NFRの侵入検知システムNetwork Flight Recorderなど数々の画期的なセキュリティ製品のデザインを手掛けた。同氏は、開発者からNFRの創業者/CEOに至るまで、セキュリティ製品ビジネスのあらゆるレベルの業務に携わってきた。多数のフォーチュン500企業および連邦政府機関のコンサルタントを務めた経験もある。
アプリケーションのセキュリティなどをについて論じた後編は、こちら。
Copyright © ITmedia, Inc. All Rights Reserved.
クラウド利用が当たり前となった今日、セキュリティ対策もまたクラウド環境に適したものでなくてはならない。とはいえ、大量のデータポイントが生成されるクラウド領域にあって、その全てのポイントを網羅するのは並大抵のことではない。
ビジネスでのAPI利用が進むにつれ、そのAPIを標的としたサイバー攻撃も増加している。それらに対抗するためには、「シャドーAPI」や「ゾンビAPI」を洗い出し、セキュリティ対策を徹底する必要がある。その正しい進め方を解説する。
ある調査で企業の61%がセキュリティ優先事項のトップ3に挙げるほど、重要度が高まっているアイデンティティー管理・保護。その中で昨今注目されているのが「IGA」というアプローチだ。そのメリットや、導入方法を解説する。
DX推進によってさまざまなビジネスシーンでデジタル化が加速しているが、そこで悩みの種となるのがセキュリティの担保だ。リソースやコストの制限も考慮しながら、DXとセキュリティを両輪で進めるには何が必要になるのか。
サイバー攻撃が巧妙化し、セキュリティチームとSOCは常に厳戒態勢を取り続けている。さらにデジタルフットプリントの拡大に伴い、セキュリティデータが絶え間なく往来する事態が生じている。このような状況に対応するには、SOARが有効だ。
数分でデータを人質に 進化するランサムウェアに有効な「第2世代EDR」とは (2025/3/4)
クラウドサービスの脆弱性をどう解消する? 安全な開発環境を構築するヒント (2025/3/4)
「複雑、高額、難しい」を変える中堅・中小向けSASEのメリットを解説 (2025/2/10)
「Box」に移行してもなくならない「お守り仕事」を根本から効率化するには? (2025/1/23)
これからのセキュリティ対策に必要な「防御側の優位性」、AIはどう実現する? (2025/1/22)
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
ITmediaはアイティメディア株式会社の登録商標です。
プロキシファイアウォールの発明者、マーカス・J・レイナム氏
