次世代ファイアウォールとは？　注目の追加機能「サンドボックス」とは？

更新日 : 2020年08月17日

いまさら聞けないセキュリティの基本

「ファイアウォール」の言葉は、セキュリティの専門家でなくとも、耳にしたことがあるかと思います。ファイアウォール自体は30年ほど前からありますが、今はいろいろな角度から会社の情報を守り、ときには業務改善のヒントまで示してくれる賢いツールに成長しています。今回は「次世代ファイアウォール」の"新しさと便利さ"を見てみましょう。

こんな気苦労はありませんか？

インターネットがビジネスインフラになった現在、便利になった反面、情報漏洩や企業の信用失墜にもつながりかねないさまざまな危険がひそんでいます。例えば、

改ざんされたWebサイトに誘導されて、自社の大切な情報を入力してしまう
Webアクセスやメール、USBメモリを介して、マルウェア（悪意あるソフトウェア）が持ち込まれる
営業スタッフが発表前の製品情報をTwitterやFacebookなどのソーシャル・メディアにうっかり書き込んでしまう
仕事中にこっそりオンラインゲームや動画サイトを利用していた社員のせいで、回線トラフィックが逼迫して業務アプリのアクセス速度が低下してしまう

こんな深刻な経験はしていないまでも、どこの会社でも気苦労はあるのではないでしょうか？　こうした不安解消にも「次世代ファイアウォール」は役立ちます。

ここが"次世代型"の新しさ

ファイアウォール（防火壁）は、もともとは企業のネットワークとインターネットの間に立てて、やり取りする情報を通すかどうかを決める"関所"の役割を果たすもの。ワナが仕掛けられたサイトの察知やマルウェア対策は、本来のファイアウォールの守備範囲を超えていますが、昨今のサイバー攻撃の多様化に対抗して、防衛能力を積み重ねてきたのです。これが最新のファイアウォール、次世代ファイアウォールの姿です。

ところで、皆さまの企業でも「UTM：Unified Threat Management」と呼ばれるシステムが入っているところは多いかと思います。UTMもファイアウォールから発展し、機能を上げていったセキュリティツール。次世代ファイアウォールとの違いはどこでしょうか？次世代ファイアウォールは何が新しいのでしょうか？

カナメはWebアプリケーションの制御

怪しいWebサイトの回避やマルウェア対策は、従来型のUTMにも備わっている部分ですから、特にお困りのことはないかもしれません。

しかし、"Twitterでの発言を防止する""オンラインゲームは会社では使わせない"といった対策は、UTMだけでは対応できません。

次世代ファイアウォールの新しさは、「Webアプリケーションの制御」。次世代ファイアウォールは、SNSやWebメール、Salesforceのような営業支援ツール、チャットに代表されるメッセージングサービス、動画配信等など、多種多様なアプリケーションの動きを一つ一つ可視化して、細かな調整もできるのです。

設定例

「営業部は製品の評判を知るためTwitterのチェックはOK。つぶやきはNG」
「Facebookへの投稿は広報室に絞って情報発信を一本化」
「Skypeはコールセンター以外NG」
「マルウェア対策で、メッセージングサービスはファイル転送機能だけをストップ」
「情報漏えいに備え、オンラインストレージは許可したサイト、許可した期間のみ」
「昼休みの60分だけYouTubeとInstagramの閲覧を開放」

このように次世代ファイアウォールは、Webアプリケーションの種別、アプリに含まれる個々の機能、ユーザー、そして時間帯といった単位で、柔軟にコントロールできるようになります。これはセキュリティ対策だけでなく、業務改善のヒントにもつながります。

先ほど「オンラインゲームで回線が逼迫」といったシーンを例に挙げましたが、Webアプリの利用制限に限らず、一つ一つのアプリを、いつ、誰が、どのように使っているかが把握できますから、利用頻度の高い業務アプリの機能を強化するといったアイデアも出てくるでしょう。

「サンドボックス」で水際対策の強化を

もう一つ、次世代ファイアウォールの追加メニューとして、最近は「サンドボックス」への関心が高まっています。Webやメールから入ってきた安全性が判然としないファイルを、sandbox（砂場）のような隔離された空間で検査する機器やサービスです。

一般的なマルウェア対策は、既知のマルウェアと同じようなパターン、似た振る舞いから見つけますから、未知の手口が使われると察知できません。マルウェアの制作者は、セキュリティ対策ツールを調べ上げ、すり抜ける工夫をするため、少しでも疑わしいファイルは、サンドボックスの中で泳がせてから判断した方が安心です。

最近はマルウェアに対する水際対策として、小規模の事業所でもサンドボックスを使うところが増えてきました。

もう一つのカナメは"運用"

最新のファイアウォールがフルに力を発揮するには、運用体制も大事です。ここ数年、著名な企業や団体からも、個人情報やクレジットカード情報の漏えいが多発していますが、こうした組織では当然、セキュリティ機器の導入と必要なアップデートは行っていました。

しかし、通信記録の日次のチェック、定期的なファイアウォールの設定確認、重要ファイルが変更されたときは管理者にアラートを出すなど、決めてあった運用ルールの実践が疎かになってしまい、情報漏えいが起きた例も報告されています。

高度なセキュリティツールの運用には専門知識も必要で、企業にはそれなりの負荷がかかってしまいます。