CTCテクニカルコラム「第17回　次世代ファイアウォールとは」

おはようございます。吉政創成の吉政でございます。

弊社のお客様であるCTC教育サービスが表記のコラムを同社のメルマガで公開されました。

メルマガの目次は以下の通りです。
■キャンペーン　Linux「1コース無料キャンペーン」実施中！！
■ニュース　　　技術コラム続々更新中！！
■トピック　　　Inst. Tech View ～第17回　次世代ファイアウォールとは～
■コラム　　　　スーパーエンジニアの独り言　第15回 “北の国から”
メルマガの全文をご覧になりたい方はいかのPDFをご覧ください。
ctc201209.pdfをダウンロード

表記のコラムについては以下をご覧ください。

◆◇ 『 Inst. Tech View ～第17回　次世代ファイアウォールとは～ 』 　◇◆

今回のInst. Tech Viewは、最近注目を集めている
「次世代ファイアウォール」についての話題です。

近年、企業においても「Facebook」や「Skype」、「YouTube」といったアプリケーションを利用する例が増えていますが、こうしたアプリケーション利用の拡大に伴い、アプリケーションを介したサイバー攻撃や情報漏えいの危険性がますます高まっています。

こうした脅威に対応するため、多くの企業はインターネットと社内LANの境界にファイアウォールを配置していますが、残念ながら従来のファイアウォールでは新しいタイプの脅威を防御するのが難しくなっています。

理由は従来型ファイアウォールのアーキテクチャにあります。
従来型ファイアウォールは、パケットのヘッダ情報(送信元/宛先IPアドレスとポート番号)を検査して、そのパケットを許可するかどうかを判断します。
一般的に各アプリケーションが使用するポート番号は決まっている(E-mailの送信＝25番ポート、Webアクセス＝80/443番ポートなど)ため、特定ポートをファイアウォールでブロックすれば、該当アプリケーションがブロックされます。

ところが、最近よく利用されているアプリケーションの多くは、ファイアウォールによるブロックを回避するため、他のアプリケーションが使用しているポート番号を利用したり(多くのアプリケーションは80/443番ポートを利用)、動的にポート番号を変化させたりします。
データを暗号化することで、ファイアウォールをすり抜けようとするアプリケーションもあります。このため、従来型ファイアウォールでは、これらのアプリケーションを識別・制御することができません。

この問題を解決するのが、「次世代ファイアウォール」です。次世代ファイアウォールは、新しいタイプのアプリケーションを識別・制御し、様々な脅威から企業ネットワークを守ります。

例えば、パロアルトネットワークス社が提供する次世代ファイアウォール「PAシリーズ」は、「App-ID」と呼ばれる技術により、ポート番号や暗号化の有無に関わらずアプリケーションを識別します。

App-IDによるアプリケーション識別の流れは、以下のようになります。

１．アプリケーションプロトコルの検出と暗号化されたデータの復号
アプリケーションプロトコル(HTTPやSMTPなど)を特定します。
SSLが使用されている場合は、分析するためにデータを復号します。

２．アプリケーションプロトコルのデコード(解析)
最初に検出したアプリケーションプロトコルが「実際のプロトコル」なのか、それとも実際のアプリケーションを隠蔽するためのトンネルとして使用されているのかを判定します。

３．アプリケーションシグネチャとのマッチング
アプリケーションを定義づけるシグネチャとのマッチングを行い、アプリケーションを識別します。

４．ヒューリスティック検査
シグネチャにマッチしない場合は、ヒューリスティック(ふるまい)検査を行います。
独自の暗号化を行うアプリケーションは、この段階で識別します。

以上のように、次世代ファイアウォールは様々な手法によりアプリケーションを分析するため、例えば「Facebook」「Skype」「Winny」がすべて80番ポートを使用していたとしても、それぞれ異なるアプリケーションとして区別することができます。

残念ながら従来のセキュリティソリューションでは、新しいタイプの脅威に対応することができません。新たなセキュリティソリューションの選択肢の一つとして、次世代ファイアウォールの検討をお勧めします。

ＣＴＣ教育サービスでは、次世代ファイアウォールを体系的に学習するためのトレーニングとして、パロアルトネットワークス社認定コースを開催しております。今回取り上げたアプリケーション識別技術だけでなく、様々な機能を体験できるコースとなっておりますので、ぜひご検討ください。

コースの詳細情報はこちら：
http://dm.ctc-g.co.jp/c?c=867&m=13557&v=c447d2f4

その他のコラムは以下をご覧ください。

レッドハットエバンジェリスト中井悦司氏によるクラウドに関連するオープンソース・ソフトウェアの技術コラム	第3回　「Community Manager」も驚いた？！日本のGlsuterFSコミュニティの盛り上がり (2012/09) 第2回　バンガロール発のオープンソース・ストレージソリューション (2012/08) 第1回　クラウドを活用する「新」定番オープンソース (2012/08) 過去のコラム
仮想化/OSSコンサルタント志茂吉建氏によるシステムの仮想化について歴史と機能を解説した技術コラム	第3回　サーバ仮想化の実装(2) - 各ハイパーバイザーの特徴 (2012/09) New! 第2回　サーバ仮想化の実装(1) (2012/08) 第1回　仮想化の歴史 (2012/08) 過去のコラム
masuidriveこと増井雄一郎氏による旬な Ruby、Rails関連コラム	第1回　Rubyの世界を大きく広げるmruby (2012/08) 過去のコラム
シトリックス島崎聡史氏によるシトリックス社のソリューション・技術解説コラム	第1回　モバイルワークスタイルとクラウド (2012/09) New! 過去のコラム
技術者のためのトータルスキルアップコラム	第2回　技術者のための『開発言語バイリンガル』 (2012/09) 第1回　技術者のための『自分の活かし方』 (2012/08) 過去のコラム
スーパーエンジニア講師による人気連載コラム ※メルマガにて配信中！配信登録はこちら	第15回　北の国から (2012/09) New! 第14回　夜と霧 (2012/08) 第13回　シャーロック (2012/07) 過去のコラム
CTC教育サービスの講師による最新動向や重要キーワードをテーマとした連載コラム ※メルマガにて配信中！配信登録はこちら	第17回　次世代ファイアウォールとは (2012/09) New! 第16回　セキュリティの重要性を身をもって知る方法 (2012/08) 第15回　Hyper-V (2012/07) 過去のコラム