「今日のファイアウォールは、文書化されていないうえに日々更新されるプロトコルを相手にしなければならない」――マーカス・J・レイナム氏インタビュー
ファイアウォールや侵入防御システムなどのセキュリティソリューションを利用すれば、危険な行為をしても大丈夫だと考えているユーザーは多いようだ。米テナブルセキュリティのセキュリティ責任者、マーカス・J・レイナム氏は、プロキシファイアウォールの発明者である。同氏によると、危険な行為を慎み、ネットワークを通過することが許されるアプリケーションのデザインを改善することが、基本的なソリューションだという。同氏へのインタビューを2回に分けてお届けする。
―― あらゆる企業は、何らかのタイプのファイアウォールを導入済みだと思われます。企業内ネットワークの外辺部は、もう十分にセキュアだと考えていいのでしょうか。
レイナム いいえ。実際には、状況は悪化しています。第一世代のファイアウォールがかなりの効果を上げたのは、仕様が明確に定められた少数のアプリケーションプロトコルしか通過することを許されなかったからです。今日のファイアウォールは、若者が週末を利用して作成したプロトコルや、一獲千金を狙う企業が開発した独自のプロトコルを相手にしなければなりません。こういったプロトコルは文書化されておらず、仕様も全く定められていないのですが、ビジネスにとって重要だと見なされているために、ファイアウォールを通過することが許されているのです。
―― この問題に対して、どういった改善の取り組みや、新タイプのファイアウォールの開発が進められているのですか。
レイナム すべての境界セキュリティ処理機能を単一のデバイスに統合することが、はっきりとしたトレンドとなっています。ファイアウォールは、非常に初期の段階でVPNコンセントレーターが統合され、ファイアウォール搭載VPNエンドポイントに進化しました。現在、侵入検知システムのシグネチャ処理機能が追加され、侵入防御システムと呼ばれるようになりました。いずれ、より強力なコンテンツフィルタリング機能を備え、スパムやトロイの木馬、VoIPスパムをブロックするファイアウォールが登場すると思います。しかしファイアウォールの根本的なブレークスルーにつながるような展開は見られません。先ほども言いましたように、より複雑なプロトコルがファイアウォールを通過するようになったことで、ファイアウォールをめぐる状況は悪化しつつあります。ファイアウォールが本来の能力を取り戻すためには、われわれの考え方を変えるしかありません。つまり一歩後ろに下がり、「暗号化されたHTTPリンクを通じたリモートプロシージャコールはセキュリティを確保するのが難しいので、これを使うのをやめよう」と言えばいいのです。しかし、そのようなことは起きないでしょう。市場の圧力が存在するからです。
ユーザーは技術的に未熟なものを押し付けられているのです。その最たる例がワイヤレスセキュリティです。人々は今、すでに配備した大規模なワイヤレスインフラのセキュリティが悲惨なものであることに気づき始めています。明晰な頭脳を持った技術者であれば、これは何とかしなければならない状況だと認識していたでしょうが、必要な技術が存在しなかったのです。ベンダーが製品の基本機能としてセキュリティを提供しなかったのは、ユーザーが「それがなければ買わない」と言わなかったからです。
本当の答えは、保守的なセキュリティ専門家たちがずっと言い続けてきたように、ネットワーク上で何が起きているのかを理解しなければならないということです。そして、ネットワーク上で起きていることをビジネスミッションに結び付ける必要があります。また、ビジネスミッションを実現するために利用するものを必要最小限にとどめることが肝要です。たとえそれが、従業員のデスクトップからWebサーフィンができなくなることを意味するとしても仕方がありません。唯一の接続形態が電子メールの送受信というような企業では、セキュリティ問題がずっと少ないでしょう。添付ファイルのある電子メールは受け付けないという方針を打ち出すだけでも、電子メールに関連した問題の大半が解消されます。
―― フォレスターリサーチの最近の調査によると、半数近くの企業がクライアントコンピュータにパーソナルファイアウォールを導入する計画です。これはファイアウォールにとって新たなフロンティアなのでしょうか。
レイナム いい傾向だと思いますが、実際に状況の改善にどの程度貢献するのかは分かりません。コンピュータのセキュリティには、汚れた大きな秘密が隠されており、業界全体がこの10年間、それを無視してきたのです。これは推移的信頼関係の問題です。つまり、わたしがあなたを信頼していて、あなたがボブを信頼していれば、わたしは暗黙のうちにボブを信頼していることになるのです。つまり、あなたが信頼しているすべての人をわたしは暗黙のうちに信頼することになり、しかもわたしは、そのことを知りさえしないのです。そして、こういったWebアプリケーションやオンラインアプリケーションの多くは、終端にあるコンピュータが何らかのセキュリティを実装しているという前提に立っているのです。つまり、セキュリティ対策がエンドユーザーに任された形になっているわけです。これはあまりいい前提とは言えません。
本稿著者のマーカス・J・レイナム氏は、セキュリティシステムのデザインとインプリメンテーションの分野で世界的に著名な専門家で、テナブルセキュリティのセキュリティ責任者を務める。プロキシファイアウォールの発明者として、また最初の商用ファイアウォール製品の実装者として認められている。1980年代末以来、DEC SEAL、TISファイアウォールツールキット、Gauntletファイアウォール、NFRの侵入検知システムNetwork Flight Recorderなど数々の画期的なセキュリティ製品のデザインを手掛けた。同氏は、開発者からNFRの創業者/CEOに至るまで、セキュリティ製品ビジネスのあらゆるレベルの業務に携わってきた。多数のフォーチュン500企業および連邦政府機関のコンサルタントを務めた経験もある。
アプリケーションのセキュリティなどをについて論じた後編は、こちら。
Copyright © ITmedia, Inc. All Rights Reserved.
ハロウィーンの口コミ数はエイプリルフールやバレンタインを超える マーケ視点で押さえておくべきことは?
ホットリンクは、SNSの投稿データから、ハロウィーンに関する口コミを調査した。
なぜ料理の失敗写真がパッケージに? クノールが展開する「ジレニアル世代」向けキャンペーンの真意
調味料ブランドのKnorr(クノール)は季節限定のホリデーマーケティングキャンペーン「#E...
業界トップランナーが語る「イベントDX」 リアルもオンラインも、もっと変われる
コロナ禍を経て、イベントの在り方は大きく変わった。データを駆使してイベントの体験価...