2006年05月23日 10時32分 公開
特集/連載

「ワイヤレスセキュリティは悲惨な状態」――ファイアウォールの第一人者に聞く(前編)Interview

「今日のファイアウォールは、文書化されていないうえに日々更新されるプロトコルを相手にしなければならない」――マーカス・J・レイナム氏インタビュー

[TechTarget]
プロキシファイアウォールの発明者、マーカス・J・レイナム氏

 ファイアウォールや侵入防御システムなどのセキュリティソリューションを利用すれば、危険な行為をしても大丈夫だと考えているユーザーは多いようだ。米テナブルセキュリティのセキュリティ責任者、マーカス・J・レイナム氏は、プロキシファイアウォールの発明者である。同氏によると、危険な行為を慎み、ネットワークを通過することが許されるアプリケーションのデザインを改善することが、基本的なソリューションだという。同氏へのインタビューを2回に分けてお届けする。

―― あらゆる企業は、何らかのタイプのファイアウォールを導入済みだと思われます。企業内ネットワークの外辺部は、もう十分にセキュアだと考えていいのでしょうか。

レイナム いいえ。実際には、状況は悪化しています。第一世代のファイアウォールがかなりの効果を上げたのは、仕様が明確に定められた少数のアプリケーションプロトコルしか通過することを許されなかったからです。今日のファイアウォールは、若者が週末を利用して作成したプロトコルや、一獲千金を狙う企業が開発した独自のプロトコルを相手にしなければなりません。こういったプロトコルは文書化されておらず、仕様も全く定められていないのですが、ビジネスにとって重要だと見なされているために、ファイアウォールを通過することが許されているのです。

―― この問題に対して、どういった改善の取り組みや、新タイプのファイアウォールの開発が進められているのですか。

レイナム すべての境界セキュリティ処理機能を単一のデバイスに統合することが、はっきりとしたトレンドとなっています。ファイアウォールは、非常に初期の段階でVPNコンセントレーターが統合され、ファイアウォール搭載VPNエンドポイントに進化しました。現在、侵入検知システムのシグネチャ処理機能が追加され、侵入防御システムと呼ばれるようになりました。いずれ、より強力なコンテンツフィルタリング機能を備え、スパムやトロイの木馬、VoIPスパムをブロックするファイアウォールが登場すると思います。しかしファイアウォールの根本的なブレークスルーにつながるような展開は見られません。先ほども言いましたように、より複雑なプロトコルがファイアウォールを通過するようになったことで、ファイアウォールをめぐる状況は悪化しつつあります。ファイアウォールが本来の能力を取り戻すためには、われわれの考え方を変えるしかありません。つまり一歩後ろに下がり、「暗号化されたHTTPリンクを通じたリモートプロシージャコールはセキュリティを確保するのが難しいので、これを使うのをやめよう」と言えばいいのです。しかし、そのようなことは起きないでしょう。市場の圧力が存在するからです。

 ユーザーは技術的に未熟なものを押し付けられているのです。その最たる例がワイヤレスセキュリティです。人々は今、すでに配備した大規模なワイヤレスインフラのセキュリティが悲惨なものであることに気づき始めています。明晰な頭脳を持った技術者であれば、これは何とかしなければならない状況だと認識していたでしょうが、必要な技術が存在しなかったのです。ベンダーが製品の基本機能としてセキュリティを提供しなかったのは、ユーザーが「それがなければ買わない」と言わなかったからです。

 本当の答えは、保守的なセキュリティ専門家たちがずっと言い続けてきたように、ネットワーク上で何が起きているのかを理解しなければならないということです。そして、ネットワーク上で起きていることをビジネスミッションに結び付ける必要があります。また、ビジネスミッションを実現するために利用するものを必要最小限にとどめることが肝要です。たとえそれが、従業員のデスクトップからWebサーフィンができなくなることを意味するとしても仕方がありません。唯一の接続形態が電子メールの送受信というような企業では、セキュリティ問題がずっと少ないでしょう。添付ファイルのある電子メールは受け付けないという方針を打ち出すだけでも、電子メールに関連した問題の大半が解消されます。

―― フォレスターリサーチの最近の調査によると、半数近くの企業がクライアントコンピュータにパーソナルファイアウォールを導入する計画です。これはファイアウォールにとって新たなフロンティアなのでしょうか。

レイナム いい傾向だと思いますが、実際に状況の改善にどの程度貢献するのかは分かりません。コンピュータのセキュリティには、汚れた大きな秘密が隠されており、業界全体がこの10年間、それを無視してきたのです。これは推移的信頼関係の問題です。つまり、わたしがあなたを信頼していて、あなたがボブを信頼していれば、わたしは暗黙のうちにボブを信頼していることになるのです。つまり、あなたが信頼しているすべての人をわたしは暗黙のうちに信頼することになり、しかもわたしは、そのことを知りさえしないのです。そして、こういったWebアプリケーションやオンラインアプリケーションの多くは、終端にあるコンピュータが何らかのセキュリティを実装しているという前提に立っているのです。つまり、セキュリティ対策がエンドユーザーに任された形になっているわけです。これはあまりいい前提とは言えません。

本稿著者のマーカス・J・レイナム氏は、セキュリティシステムのデザインとインプリメンテーションの分野で世界的に著名な専門家で、テナブルセキュリティのセキュリティ責任者を務める。プロキシファイアウォールの発明者として、また最初の商用ファイアウォール製品の実装者として認められている。1980年代末以来、DEC SEAL、TISファイアウォールツールキット、Gauntletファイアウォール、NFRの侵入検知システムNetwork Flight Recorderなど数々の画期的なセキュリティ製品のデザインを手掛けた。同氏は、開発者からNFRの創業者/CEOに至るまで、セキュリティ製品ビジネスのあらゆるレベルの業務に携わってきた。多数のフォーチュン500企業および連邦政府機関のコンサルタントを務めた経験もある。

アプリケーションのセキュリティなどをについて論じた後編は、こちら



ITmedia マーケティング新着記事

クラウドファンディングを活用して広告出稿 MOTION GALLERYと電通が「AD MISSON」を提供開始
自己資金は乏しくても共感性が高く社会貢献の見込めるプロジェクトが情報発信できるため...

news017.jpg

「A/Bテスト」ツール 売れ筋TOP10(2021年10月)
今週は、「A/Bテスト」ツールの売れ筋TOP10を紹介します。

news030.jpg

コンテンツSEOでやらかしてしまいがちな3つの勘違い
ITmedia マーケティングで2021年3月に連載して多くの反響をいただいた「勘違いだらけのEC...