支店向けUTM（統合脅威管理）実装ガイド

Implementation Guide
支店向けUTM（統合脅威管理）実装ガイド
ジュニパーネットワークス株式会社
〒163-1035
東京都新宿区西新宿 3-7-1
新宿パークタワー N棟35階
電話 03-5321-2600
FAX 03-5321-2700
URL http://www.juniper.co.jp
Part Number: 801011-001 JP Jan 2009
支店向けUTM（統合脅威管理）実装ガイド
目次
はじめに… ……………………………………………………………………………………………………………………………… 4
適用範囲… ……………………………………………………………………………………………………………………………… 4
対象読者… …………………………………………………………………………………………………………………………… 4
設計に関する検討事項… ……………………………………………………………………………………………………………… 5
脅威の把握—エンタープライズ環境におけるUTM防御の必要性……………………………………………………………… 5
ジュニパーネットワークスのUTMソリューションを適用した、支店のセキュリティ確保………………………………… 5
ハードウェア・コンポーネント… ………………………………………………………………………………………………… 6
SSG……………………………………………………………………………………………………………………………… 6
ISG… …………………………………………………………………………………………………………………………… 6
SRX……………………………………………………………………………………………………………………………… 6
集中管理… …………………………………………………………………………………………………………………………… 6
NSM……………………………………………………………………………………………………………………………… 6
NSMXpress… ………………………………………………………………………………………………………………… 7
STRM… ………………………………………………………………………………………………………………………… 7
実装—UTM機能導入時のベストプラクティス……………………………………………………………………………………… 7
ディープ・インスペクション… …………………………………………………………………………………………………… 7
アンチウィルス… …………………………………………………………………………………………………………………… 8
アンチスパム… ……………………………………………………………………………………………………………………… 8
Webフィルタリング………………………………………………………………………………………………………………… 8
Webフィルタリングのリダイレクト……………………………………………………………………………………………… 8
設計および実装の背景… ……………………………………………………………………………………………………………… 9
支店の種類やアクセス、コネクティビティに関する背景… …………………………………………………………………… 9
使用事例… …………………………………………………………………………………………………………………………… 9
インターネット上の脅威に対するセキュリティ確保（インバウンド）…………………………………………………… 9
支店の脅威に対するインターネットのセキュリティ確保（アウトバウンド）…………………………………………… 9
支店に対するエンタープライズ向けWAN/VPNのセキュリティ確保（アウトバウンドおよびインバウンド）… …10
ユーザーに対するインターネット・アクセスの制限と、ゲストによるアクセスのブロッキング/ログ収集…………10
セキュリティポリシーの実行… ……………………………………………………………………………………………………10
セキュリティポリシーの作成—シンプルなファイアウォールルールの設定から… …………………………………………10
実装ガイドライン… ……………………………………………………………………………………………………………………11
集中ポリシー管理… …………………………………………………………………………………………………………………11
UTMをセキュリティポリシーに追加………………………………………………………………………………………………11
インターネット・セキュリティポリシー（Trustからインターネットゾーン）………………………………………………11
ゲストゾーンのポリシー… …………………………………………………………………………………………………………13
VPNアウトバウンドポリシー（TrustからVPNゾーン）… ……………………………………………………………………14
Copyright ©2009, Juniper Networks, Inc.
支店向けUTM（統合脅威管理）実装ガイド
VPNインバウンドポリシー（VPNからTrustゾーン）… ………………………………………………………………………15
補完型VPNハブ/データセンターのポリシー作成… ……………………………………………………………………………16
まとめ… …………………………………………………………………………………………………………………………………17
付録A 支店のSSG構成…………………………………………………………………………………………………………………17
必要なライセンスの取得… …………………………………………………………………………………………………………17
ディープ・インスペクションのデータベース更新… ……………………………………………………………………………18
アンチウィルスのデータベース更新… ……………………………………………………………………………………………18
URLフィルタリングの設定（Websenseリダイレクトを使用）… ……………………………………………………………18
NSMへのSSGデバイス追加… ……………………………………………………………………………………………………18
SSGデバイスの設定をNSMにインポート… ……………………………………………………………………………………18
セキュリティポリシーを適用してデバイスを更新… ……………………………………………………………………………18
付録B NSMサービスおよび攻撃グループ……………………………………………………………………………………………19
ジュニパーネットワークスについて… ………………………………………………………………………………………………22
図表リスト
図1. NSM（Network and Security Manager）のTrustからUntrustに対するポリシー…………………………………12
図2. NetScreen Manager（ゲストゾーンに関するポリシー）…………………………………………………………………13
図3. NetScreen Manager（TrustからVPNに関するポリシー）………………………………………………………………14
図4. NetScreen Manager（TrustからVPNに関するポリシー）………………………………………………………………15
図5. NetScreen Manager（TrustからVPNに関するポリシー）………………………………………………………………16
図6. アウトバンドHTTP/FTPトラフィック（アウトバウンドVPNおよびアウトバウンド・インターネット）用
ディープ・インスペクション・プロファイル…………………………………………………………………………………19
図7. その他の共通インターネット・サービス用ディープ・インスペクション・プロファイル
（アウトバウンドVPNおよびインターネット）…………………………………………………………………………………20
図8. インターネットおよびエンタープライズの電子メール検査用ディープ・インスペクション・プロファイル
（アウトバウンドVPNおよびインターネット）…………………………………………………………………………………20
図9. 共通のエンタープライズ・アプリケーション用ディープ・インスペクション・プロファイル
（インバウンド/アウトバウンドVPN）…………………………………………………………………………………………21
図10. リモート管理サービス用NSMサービスオブジェクト（インバウンドVPN）……………………………………………21
Copyright ©2009, Juniper Networks, Inc.
支店向けUTM（統合脅威管理）実装ガイド
はじめに
今日の分散型エンタープライズ環境では、インターネット上で新しいさまざまなアプリケーションが導入されていることから、
新種のセキュリティ脅威が発生しています。こうした状況を受けて、ITのセキュリティ分野は目覚しい成長を遂げ、現在では数
百社ものベンダーが、あらゆる脅威を防御するためのポイントソリューションを提供しています。企業は多様な製品を使用して、
さまざまな「攻撃のベクター」からの防御を行うとともに、リスクを低減しています。エンタープライズ向けネットワークでは、
URLフィルタリングなどの「Anti-X」技術や、ネットワークのアンチウィルス、侵入防御などが選択的に導入されてきました。
こうしたAnti-Xテクノロジーは主に、大規模なキャンパスやデータセンターのネットワークなどで導入されており、最も重要と
されるリソースを保護しています。
数百もの小規模な支店を抱える分散型エンタープライズ環境では通常、オンサイトのITサポートが最小限しか備わっていないた
め、こうした種類のセキュリティ技術をエンタープライズ環境全体に導入することは、コストも非常に高いことから、これまで
非現実的だとされてきました。支店のセキュリティに関しては、支店に配置する大量のセキュリティ機器を管理するためのコス
トと、それに伴うセキュリティ上のメリットとの間で常にバランスを取る必要がありました。この結果、大規模な分散型エンター
プライズではたいていの場合、すべてのインターネット・トラフィックをヘッドエンドでバックホールするため、さらにヘッド
エンドの広帯域幅が必要となり、コストが大幅に上昇していました。また、企業は支店のセキュリティに関しては軽視しがちな
ため、多層防御が行われず、支店のユーザーやエンタープライズ・ネットワーク全体が、インターネット上で無数の脅威にさら
されてしまいます。
ジュニパーネットワークスは、支店のファイアウォール全体を対象として最新のセキュリティ技術を統合し、重要なセキュリティ
機能を1つのデバイス上に集約しました。ジュニパーネットワークスのセキュア・サービス・ゲートウェイ（SSG）は、内蔵
URLフィルタリング機能や、アンチウィルス/ワームおよび侵入防御機能だけでなく、実績のあるファイアウォールやVPN、ルー
ティング機能なども搭載しています。これらの機能は、ジュニパーネットワークスのNetwork and Security Manager（NSM）
を使用して、シームレスに幅広く管理できます。
適用範囲
本書は、ジュニパーネットワークスのUTM機能の実装方法および管理方法について説明します。今日の分散型エンタープライ
ズ環境が直面している典型的なセキュリティ脅威を取り上げ、ジュニパーネットワークスのSSG製品シリーズが実行する適切
なセキュリティポリシーをどのように活用すればこれらの脅威を低減できるか、その方法について検討します。さらに、分散型
エンタープライズ環境全体において、ジュニパーネットワークスの実績あるセキュリティゲートウェイで防御された、数百ヶ所
に及ぶ遠隔地の支店に対して、これらの機能を効率的かつ統合的に導入・管理する方法についても詳細に説明します。
対象読者
◦セキュリティ /ITエンジニア
◦ネットワーク・アーキテクト
Copyright ©2009, Juniper Networks, Inc.
支店向けUTM（統合脅威管理）実装ガイド
設計に関する検討事項
脅威の把握—エンタープライズ環境におけるUTM防御の必要性
分散型エンタープライズのネットワークが直面するセキュリティ脅威は、増え続ける一方です。ウィルスやトロイの木馬、ワー
ムなどといった脅威は、Webサイトや電子メール、Webメール、インスタントメッセージ（IM）、ピアツーピアのアプリケーショ
ンなどを介して、次々となくユーザーに感染します。このため、脅威に対処するためのITスタッフも増員する必要があります。
不正なWebサイトにアクセスしたり違法なファイルをダウンロードするユーザーの数も増加し続けていることから、貴重な回
線容量が占有され、企業の責任問題も発生しています。よく知られているようにユーザーやゲストが脆弱性を利用してサーバー
を攻撃したり、深刻な情報の漏えいやセキュリティ違反などを起こす可能性もあるのです。
不正なインターネットサイトは、ユーザーを標的としてサーバーからクライアントを攻撃し、ネットワークへのバックドアを作
成したり、他のユーザーに感染したりします。さらに、DoS（サービス拒否）攻撃という脅威は、ネットワークの回線容量やリ
ソースを消耗させて、ダウンタイムや生産性の低下を引き起こします。こうした脅威の発生源（攻撃ベクター）としては、イン
ターネットや感染ユーザー、悪意のあるユーザー、サーバー、ゲスト、不正ユーザーなどが挙げられます。これらの脅威の標的
は、企業内のユーザーやゲスト、サーバー、ストレージシステム、VoIPインフラなどです。しかし最も重要なのは、自社のネッ
トワークそのものが標的になる場合もあるということです。米国の「ダークリーディング（Dark Reading）誌」（2008年8
月13日付）によると、2008年第2四半期中に、平均で1,000万台以上のゾンビコンピュータ（「ボット」に感染したためにサ
イバー犯罪者によって遠隔操作されるシステム）が、マルウェアを搭載したスパムや電子メールを毎日のように送信していたこ
とが明らかになっています。
企業は現在、自社ネットワーク上のインターネットそのもの（他のサイト）を、悪意あるユーザーや感染したユーザーに対して
保護しなければならないという問題にも直面しています。企業が、企業ネットワーク内部から発生する攻撃やウィルス、ワーム
などを防御し、責任問題に関する保護対策を進めていく上で、こうした問題への対処の重要性はますます高まっています。この
ような保護対策に関しては、不正なWebサイトやピアツーピアのファイル共有、IMでの会話などの防御やログ収集なども含まれ、
その対象範囲は拡大しています。
セキュリティ管理者やIT管理者にとって、すべての攻撃ベクターを防御するのは不可能かもしれません。しかし、ネットワーク
管理者やIT専門家が、セキュリティポリシーの設計や構築に膨大な時間を費やす必要はもうありません。ジュニパーネットワー
クスのSSGを採用して、本書に記載されている構築例やベストプラクティスなどを組み合わせることにより、セキュリティの
向上や、使用する帯域幅の最適化、分散型エンタープライズ環境の負担軽減などを正しい方向に進めることができるのです。
ジュニパーネットワークスのUTMソリューションを適用した、支店のセキュリティ確保
ジュニパーネットワークスのUTMソリューションは、ベンダー各社の従来の統合脅威管理レベルを一段と高め、特定の用途に
限定した製品を超える機能を提供します。さらに、データセンターや大規模な支店を対象としたハイエンドな統合セキュリティ・
ゲートウェイ（ISG）だけでなく、支店や支社に向けて、UTM機能を内蔵したSSGデバイスも一式取りそろえています。全デ
バイスに搭載されているScreenOSは、ハイパフォーマンスや、ポリシーベースのステートフル・ファイアウォール、IPsec
VPNコネクティビティなどを確実に実現する設計を採用しています。さらに、デバイスはすべて、NSMを使用してシームレス
に管理され、集中的なポリシー管理やログの統一、レポート作成などを実行します。
UTMのセキュリティ機能は、以下のとおりです。
◦アクセス・コントロールを実行してネットワークレベルの攻撃を防御する、ステートフル・インスペクション・ファイアウォー
ルを搭載。
◦アプリケーションレベルの攻撃を防御する、侵入検知防御（ディープ・インスペクション・ファイアウォール）を搭載。
◦カスペルスキーラボ（Kaspersky Lab）社のスキャニングエンジンをベースとした、クラス最高のアンチマルウェア防御機
能を搭載。アンチウィルスやアンチフィッシング、アンチスパイウェア、アンチアドウェアなどを搭載し、ウィルスやトロイ
の木馬などさまざまなマルウェアによるネットワークのダメージを未然に防御。
◦シマンテック社との協業により、スパムやフィッシングを防御するアンチスパム機能を搭載。
◦Websenseを使用することで、不正かつ悪質なWebサイトやWebコンテンツを検出してアクセスを防御する、Webフィルタ
リング機能を搭載。
◦オフィス間のセキュアな通信を確立する、サイト間のIPSec VPNを搭載。
◦DoS攻撃緩和機能を搭載。
◦H.323 ALGやSIP、SCCP（Skinny Client Control Protocol）、MGCP（Media Gateway Control Protocol）に対応し、
VoIPトラフィックの調査・防御を実行。
Copyright ©2009, Juniper Networks, Inc.
支店向けUTM（統合脅威管理）実装ガイド
詳細については、『Concepts & Examples ScreenOS Reference Guide Vol. 6, Voice-over-Internet Protocol』を参照
してください。このリファレンスガイドは、対応するVoIP ALGや、H.323プロトコルに関する詳細について説明します。また、
ジュニパーネットワークスのセキュリティデバイスやSIP ALGでのH.323 ALGの設定例や、MGCP ALGに関する概要などを
説明し、ファイアウォールセキュリティの実装リストについてもまとめています。典型的な実装例については、MGCPアーキ
テクチャのまとめの後に示します。
ハードウェア・コンポーネント
ジュニパーネットワークスのUTM関連のハードウェア・コンポーネントには、SSG/ISGファイアウォールとSRXシリーズサー
ビス・ゲートウェイなどがあります。
SSG
ジュニパーネットワークスが誇る、業界屈指のSSG製品シリーズは、最先端の包括的な攻撃防御機能を搭載したScreenOSを
採用しており、常に新しい機能の開発や調整を積み重ねてきました。製品リリースのたびにUTM機能を進化させ、あらゆる企
業のセキュリティポリシーに関するニーズを満たすことができるよう、カスタマイズ性の向上を実現しています。ScreenOS
は現在、最高クラスのUTM機能を提供しており、SSGデバイスに内蔵されています。搭載している機能には、DoS防御やDPI
（ディープ・パケット・インスペクション）、URLログ収集とフィルタリング、ネットワークのアンチウィルスおよびアンチスパ
ム防御などをはじめとするAnti-X防御機能などがあります。
ISG
ジュニパーネットワークスのISGデバイスは、第4世代のセキュリティ ASIC（特定用途向け集積回路）「GigaScreen3」を搭
載した、目的特化型のセキュリティソリューションです。また、高速マイクロプロセッサを搭載し、圧倒的なパフォーマンスを
実現するファイアウォールとVPNを提供します。さらにISG製品シリーズは、ハードウェアベースの統合型侵入検知防御（IDP）
を搭載しているため、企業はハイパフォーマンスなシングルボックス・ソリューションを導入することで、支店からデータセン
ターやVPNヘッドエンドに向けたコネクティビティのセキュリティを確保できます。
SRX
ジュニパーネットワークスのSRX製品シリーズは、画期的なアーキキテクチャを採用し、市場をリードする拡張性とサービス
統合機能を備えた、次世代のサービスゲートウェイです。
SRXシリーズの高度なセキュリティ機能は、自動的に脅威を検知して緩和します。その一方で、ルーティング機能によって、
インテリジェントかつ迅速にトラフィックの優先度を設定します。こうした機能を活用し、高度なサービスやアプリケーション
を保護して分散することにより、ネットワーク上で何百万人もの加入者やさまざまな企業の部署に対応することが可能です。
SRXシリーズは、以下のコンポーネントを搭載しています。
◦ファイアウォール
◦侵入検知防御（IPS）
◦DoS
◦QoS（Quality of Service：サービスの質）
◦NAT
◦ルーティングおよびスイッチング
SRXシリーズのサービスゲートウェイは、共有カードや電源などをはじめとするパフォーマンスの拡張性に優れています。
集中管理
ジュニパーネットワークスの集中管理技術は主に、Network and Security Manager（NSM）と管理アプライアンス
「NSMXpress」で構成されています。
NSM
セキュリティ機器が地理的に分散されている場合は、集中的に管理することが非常に重要です。ジュニパーネットワークスの
NSMは、集中型ポリシー管理やログの統合、レポート作成などの機能を提供します。NSMは、SSGデバイスやNetScreenファ
イアウォール、IDPアプライアンス、EXシリーズイーサネットスイッチ、Jシリーズルーター、Secure Access SSL VPN、
統合型アクセス・コントロール（UAC）のインフラネット・コントローラなどを管理します。
Copyright ©2009, Juniper Networks, Inc.
支店向けUTM（統合脅威管理）実装ガイド
また、ジュニパーネットワークスのデバイスは通常、NSMのサポートリストに追加されています。最新のサポートリストにつ
いては、製品&サービスをご覧ください。さらにNSMは、デバイス管理やライセンス供与、設定のアップデートが失敗した場
合の自動「ロールバック」機能など、分散型エンタープライズ環境に特化した重要な機能を搭載しています。
NSMXpress
NSMXpressは、NSMの管理アプライアンスです。管理インタフェースを1つに統合して、各デバイスのパラメータを制御す
ることにより、複雑になりがちなセキュリティ機器管理を簡素化します。この堅牢なハードウェア管理システムは、優れた高可
用性（HA）を実現しているため、わずか数分でインストールでき、拡張や導入も簡単です。
大規模な分散型エンタープライズ環境では、http://www.juniper.net/techpubs/software/management/securitymanager/nsm2008_1/nsm2008.1_admin_guide.pdfに掲載されている『Network and Security Manager
Administration Guide』の概要に従い、少なくとも4つのボックス型NSM構成を採用する必要があります。
4つのボックス型手法では、主要なGUIサーバーとデバイスサーバーを個別のボックスに分類し、地理的に離れたデータセンター
にそれぞれのボックスを配置します。こうして、物理的な場所に関係なく個別に高可用性を実現することで、デバイス管理やロ
グ収集を行うことができます。
STRM
ジュニパーネットワークスのSecurity Threat Response Manager（STRM）は、統合的なログ管理機能や脅威の検出機能、
SIEM（セキュリティ情報・イベント管理）、単独のコンソール上におけるネットワーク状況の分析機能などを提供します。これ
により、セキュリティ管理ソリューションの取得コストを削減できるだけでなく、IT効率の向上も実現できます。
ジュニパーネットワークスは、集中型SIEMソリューションを採用することでエンタープライズ環境のセキュリティ状況を包括
的に可視化し、リアルタイムで脅威に対処することを推奨しています。
支店に配置されているミッションクリティカルなデバイスは、STRMにログを送信するよう設定が必要です。搭載されている大
量の相関ルールを使用することで、ネットワーク内に存在するウィルスやワームの動きを検知することができます。STRMは、
日常のネットワーク活動に潜んでいる危険性に対してソースを隔離し、講じるべき措置を指定します。STRMのフロー処理およ
びイベント処理機能では、ネットワークイベントおよびセキュリティイベントや、ネットワークおよびアプリケーションのフロー
データを処理する拡張機能が分散されています。STRM 500/2500を支店に導入することで、エンタープライズ向けSIEMソ
リューションの拡張性を高めることができます。
STRMは、さまざまな支店からのUTMログ情報を効率的に関連付けます。さらに、ワームやウィルスが発生して、支店からデー
タセンターまでのネットワーク全体に広がる可能性がある場合は、セキュリティ・オペレーション・センター /ネットワーク・
オペレーション・センター（SOC/NOC）の管理者に警告を発信することも可能です。
実装—UTM機能導入時のベストプラクティス
以下のセクションでは、UTM導入時に推奨されるベストプラクティスについて説明します。
ディープ・インスペクション
ジュニパーネットワークスは、片方のエンドポイントに、もう一方のエンドポイントの脆弱性を悪用しかねない不正コードが含
まれている可能性があるサービスに対して、ディープ・インスペクション（DI）の採用を推奨しています。例えば、ネットワー
クのUntrustゾーンの内側/外側に出入りするネットワークトラフィックなどが例として挙げられます。ネットワークは、
Untrustゾーンインタフェースを使用してインターネットに接続します。Untrustゾーンは、支店のセキュリティゲートウェイ
に対して、企業全体で完全に制御されていないネットワークを接続します。
DIは、Regular Expressions（Regex）に従って、パケット内の不正なコンテンツを特定し、アプリケーションレイヤー上の
トラフィックを調査することができます。例えば、インターネット上にまん延したワームが、Webサーバーに対して有害な文
字列を送信し、IIS（Internet Information Server）のWeb脆弱性を不正利用しようとした場合は、カスタムシグネチャが攻
撃文字列を識別して阻止します。カスタムシグネチャをポリシーに適用すると、そのポリシー内のトラフィックに対して、特定
の文字列に関する検査が実行されます。
このため、インバウンド/アウトバウンド・トラフィックに関連するシグネチャのみを使用することが重要です。例えば、社員
のコンピュータからインターネットに（TrustからUntrustに）送信されるアウトバウンドHTTPトラフィックに関しては、サー
バーからクライアントへの脆弱性ベクターのセキュリティを確保し、社員のコンピュータに対するリスクを低減することが非常
に重要です。
Copyright ©2009, Juniper Networks, Inc.
支店向けUTM（統合脅威管理）実装ガイド
さらにジュニパーネットワークスは、クライアントからサーバーへの相互作用のセキュリティを確保することで、IPアドレス空
間から攻撃が発生する場合に備え、企業の責任を制限することを推奨しています。また、攻撃に対する防御や識別についてはす
べて、定期的にログ収集や監視を行うことが不可欠です。
アンチウィルス
ジュニパーネットワークスは、支店のデバイスが不正なコンテンツを絶対に受信しないよう、すべてのピアツーピア・トラフィッ
クや電子メールトラフィックに対して、ワームやウィルス、トロイの木馬などといったマルウェアに関するスキャンを実施する
ことを推奨しています。顧客企業によっては、ピアツーピア・トラフィックを完全にブロックアウトする場合もあります。
また、外部のファイル転送/共有に関しても、すべてスキャニングを実施することを推奨しています。特に、以下の3種類のト
ラフィックが重要です。
◦Webメール
◦ユーザーのPOP3（Point of Presence）メール取得
◦メールサーバー SMTP（Simple Mail Transfer Protocol）のインバウンド電子メール
さらに、アンチウィルスエンジンから発生するログをすべて集中的に回収することが重要です。これにより、責任の所在を明ら
かにする監査証跡が可能になり、感染したユーザーに関するレポートも簡単に作成できます。
注：マルウェアは通常、企業ネットワーク上に存在していない機器に感染します。例えば、ユーザーがラップトップ型コンピュー
タを自宅に持ち帰ったり、出張に持ち運んだりする場合などが該当します。また、マルウェアへの感染は、支店のネットワーク
内で発生する場合や、USBアダプタやMP3プレーヤー、CD-ROMなどを介して広がる場合もあります。ジュニパーネットワー
クスは、ウィルスに対して最大限の防御を保証すべく、常に徹底的な防御対策を実行することを推奨しています。IT管理者は、
従来のホストベースのアンチウィルスやセキュリティソフトウェアなどを追加して、ネットワークレベルのアンチウィルスを増
強する必要があります。これにより、ユーザーのハードドライブのスキャンや、圧縮ファイルやスクリプトのデコードを行うと
ともに、ユーザーのコンピュータのコンテンツすべてに対して潜在的な脅威に関する診断を行います。
アンチスパム
ジュニパーネットワークスは、支店にメールサーバーが設置されている場合は、UTMデバイスにアンチスパムエンジンをイン
ストールするよう推奨しています。ただし、分散型エンタープライズ環境の場合は、アンチスパムエンジンはデータセンターま
たは本社に配置されるため、必ずしもインストールが必要とは限りません。
Webフィルタリング
ジュニパーネットワークスは、Webフィルタリングを使用して、脅威に対してすべてのHTTP/FTPトラフィックをフィルタリ
ングすることを推奨しています。これにより、支店のユーザーが、感染したコンテンツをネットワーク上で送受信できないよう
にします。さらに企業は、カスタマイズや不正利用の検出が可能になるだけでなく、インターネット・アクセスに関する利用規
定も実行できます。Webフィルタリング・プロファイルは、企業の最高レベルのセキュリティポリシーと利用規定に準拠する
必要があります。全支店を対象として、Webフィルタリングエンジンからのログをすべて集中的に回収し、ほかのセキュリティ
ログと同時に確認できるようにすることが重要です。
Webフィルタリングのリダイレクト
大規模な支店でVPNを導入する場合は、Webに関する主な検討事項としてログ収集やレポート作成が挙げられます。このため
ジュニパーネットワークスでは、HTTPのURLを集中型Websenseサーバーにリダイレクトしてログ収集やクラス分け機能を
実行する「リダイレクト」メソッドの採用を推奨しています。この場合、フィルタリングやレポート作成、日常管理、アップデー
トなどはすべて、ヘッドエンドで維持されている集中型のWebsenseサーバーで実行されます。管理上のメリットとしては、
Webフィルタリングポリシーが変更された場合にアップデートが必要となるのは集中サーバーのみであるため、支店のデバイ
スすべてをアップデートする必要がないという点があります。高可用性が懸念事項となる場合は、2台のWebsenseサーバーを
使用することもできます。一方のサーバーを各データセンターに配置して、別のVPN経由でアクセスすることにより、障害許
容力を強化できます。また、ScreenOSファイアウォールについても、Webフィルタリングサーバーに接続できない場合は「フェ
イルオープン」に設定することが可能です。
Copyright ©2009, Juniper Networks, Inc.
支店向けUTM（統合脅威管理）実装ガイド
設計および実装の背景
支店の種類やアクセス、コネクティビティに関する背景
ジュニパーネットワークスの参照アーキテクチャは、企業だけでなく、特定の支店を拠点とする数々のユーザーからのセキュリ
ティおよび可用性に関するニーズに対応するモデルを構築します。支店のアーキテクチャは、「タイプA – ベーシック」、「タイ
プB – 最適化」、「タイプC – 重要」という3つの支店プロファイルに分類されます。これらの3種類のプロファイルはそれぞれ、
5人程度から数百人のユーザー数の規模に対応します。
支店タイプA – ベーシック：このタイプの支店は通常、1つの統合セキュリティ /ルーティングデバイスと、1つ以上のイーサネッ
トスイッチで構成されており、数々の接続デバイスに対応します。データセンターへのWAN接続は、シングル/デュアルインター
ネット接続で実行します。このプロファイルは、コスト効率を最優先事項とする小規模な支店（例：小売施設やスモールオフィ
スなど）向けに設計されており、標準的な可用性を備えた基本的な機能セットに対応しています。こうしたロケーションでは通
常、シンプルなLANインフラを構築して社員にアクセスを提供しています。規模が非常に小さい支店の場合は、統合セキュリティ
とルーティングデバイスのスイッチング性能のみを利用します。
支店タイプB – 最適化：このタイプの支店は、2つの統合セキュリティ /ルーティングデバイスと、2つ以上のイーサネットスイッ
チで構成され、すべてフルメッシュ構成で配備されています。データセンターへのWAN接続には、プライベートWANとインター
ネット接続の両方を使用します。このプロファイルは、小規模から中規模の支店に対応し、高可用性を実現します。大規模なオ
フィスの場合は通常、認証ベースのアクセス・コントロールが必要な社員用ネットワークやゲスト用ネットワークなどといった、
ネットワークのセグメンテーションや個別ネットワークに対するサポートが必要です。
支店タイプC – 重要：このタイプの支店は、2台のエッジルーターと2台のセキュリティゲートウェイ、2台以上のイーサネット
スイッチで構成され、すべてフルメッシュ構成で相互接続されています。データセンターへのWAN接続には、インターネット
接続とプライベートWAN接続の両方を使用します。このプロファイルは、最高レベルのパフォーマンスと可用性を実現し、
VoIPや動画配信などといったサービスに対する多様な要件にも対応可能な設計となっています。また、このタイプの支店は、
MPLSネットワーク上に直接接続されている場合もあります。ネットワークのセグメンテーションや個別ネットワークだけでな
く、個別サーバーのLANネットワークを必要とする、一部のローカルサーバーやサービスなどをホスト接続することも可能です。
使用事例
本セクションでは、支店のセキュリティや分散型エンタープライズ環境に関連した、4件の使用事例について考察します。
◦インターネット上の脅威に対するセキュリティ確保（インバウンド）
◦支店の脅威に対するインターネットのセキュリティ確保（アウトバウンド）
◦支店に対するエンタープライズ向けWAN/VPNのセキュリティ確保（アウトバウンドおよびインバウンド）
◦ゲストユーザーに対するインターネット・アクセスの制限と、支店/VPNアクセスのブロッキング
インターネット上の脅威に対するセキュリティ確保（インバウンド）
この設計では、UTMを使用して、インターネット上の脆弱性に対して支店の社員を保護します。この場合のUTMの目的は、脅
威に対して支店自体を防御し、社員の生産性を向上させるとともに、ウィルスやトロイの木馬、ワームなどによる感染を検出し
なければならないIT業務の負担を軽減することです。このためには、UTMを使用するだけでなく、DIやURLフィルタリング、ネッ
トワークレベルでのアンチウィルスなどといった機能も利用して、サーバーからクライアントへの攻撃に伴う不正なWebサイ
トに対し、支店の社員を保護する必要があります。このように実装することで支店の帯域も節約でき、アウトバウンドQoSを使
用した本来のビジネス目標を達成できます。
支店の脅威に対するインターネットのセキュリティ確保（アウトバウンド）
この設計では、UTMを使用して、支店の社員やゲストに対してインターネットを保護します。この場合のUTMの目的は、厳格
なファイアウォールルールやURLフィルタリングを採用して、インターネットの利用ポリシーを実行し、社員の生産性を向上さ
せることです。また、DIやアプリケーションを実行して、アウトバウンドからの攻撃やファイルの共有、不正サイトなどをブロッ
クし、「信用障壁」を構築します。
Copyright ©2009, Juniper Networks, Inc.
支店向けUTM（統合脅威管理）実装ガイド
支店に対するエンタープライズ向けWAN/VPNのセキュリティ確保（アウトバウンドおよびインバウンド）
この設計では、UTMを使用して、支店に対して分散型エンタープライズ環境を保護するだけでなく、その反対に、分散型エンター
プライズ環境に対して支店を保護します。ネットワークレベルのアンチウィルスを採用し、ワームやトロイの木馬、スパイウェ
アなどが各支店のネットワークを超えてまん延しないよう防御する必要があります。また、DIやスパム防止機能を使用して、攻
撃や大量の迷惑データを発生源（支店）で防御する必要があります。さらに、本来のビジネス目標を達成するためには、インバ
ウンド/アウトバウンドQoSを使用して、データセンターや支店でVPN帯域を節約する必要があります。
ユーザーに対するインターネット・アクセスの制限と、ゲストによるアクセスのブロッキング/ログ収集
この設計では最初に、ゲストユーザーを別のサブネットやファイアウォールゾーンに隔離する必要があります。UTM機能は、
ゲストのインターネット・アクセスを制限するため、ゲストユーザーが攻撃を展開したり、企業の責任を制限できないようにし
ます。個別のゲストゾーンやポリシーを使用し、ゲストに対して支店やエンタープライズ向けVPNを隔離します。このポリシー
に基づき、こうした種類のアクセス攻撃を防御してログ収集を行います。
セキュリティポリシーの実行
最初のセクションでは、支店の脅威について検討し、こうした脅威に対して支店を保護する際にSSG（セキュア・サービス・ゲー
トウェイ）が果たす役割について考察しました。SSGの機能を活用すれば、分散型エンタープライズ環境に最適なセキュリティ
ポリシーを策定できます。ここで定義するネットワーク・セキュリティ・ポリシーは、各企業のニーズに正確に適合しない可能
性もありますが、少なくとも出発点として、各企業のニーズに合わせた拡張やカスタマイズが可能です。
支店の分散型ネットワークに関するセキュリティポリシーを作成する場合は、ビジネス面から技術面にいたるまで、目標を明確
に定義することが大切です。理想的かつ「特定の対象に限定した」セキュリティポリシーは通常、小売店などのような「オープ
ンな」企業に対しては効果がありません。こうした環境では、Webアクセスやインスタントメッセージ、電子メールなどを完
全にブロックしたり、ネットワークにアクセスするすべてのユーザーに対してセキュアIDの認証を要求するなどといった徹底的
な手法を採用すると、企業の負担が大きすぎて対応できない可能性があります。最終的にセキュリティポリシーを確定する場合
は、平均的なユーザーのコンピュータ操作能力を考慮する必要があります。特定の企業環境にあるユーザーに対して、習得が困
難な技術を要求したり、ソフトウェアのインストールまたはアップデートを要求したりするのは不適切だといえます。
セキュリティポリシーの作成—シンプルなファイアウォールルールの設定から
大規模な企業の支店のファイアウォールは増加する一方であるため、その規模によっては管理が難しく、さらにコストも増大し
ます。管理を簡素化するためには、必要なソースや宛先IP、プロトコルの使用などを実行すると同時に、支店のレイヤー 3/4ファ
イアウォールのセキュリティポリシーを可能な限り汎用化する必要があります。支店のセキュリティポリシーに対する変更は、
最小限に抑えることを目標とします。（毎週1,000台のデバイスのポリシーを更新しなければならない状況だけは避ける必要が
あります。）ポリシー実行時に使用するハブや、前述の設計に関する主な利点の1つとして、特定のホストを対象としたダイナミッ
クなファイアウォールセキュリティ・ポリシーを、支店からのトンネルの一方であるVPNハブで管理したり実行できることが
挙げられます。このため支店のポリシーは、極めてシンプルかつ汎用的なものに維持されます。既存のサブネットにサーバーや
リソースを追加する場合、更新が必要なのはハブのVPNポリシーだけとなるため、通常は2 ～ 4台のデバイスのみで済みます。
支店のファイアウォールポリシーは、UTMを追加実行する前や、
（可能であれば）VPNハブデバイスに対して厳格なセキュリティ
ポリシーを適用する前に、最初に作成して試験を実施する必要があります。こうした手法によって、試験やトラブルシューティ
ングを簡素化できるだけでなく、後でポリシーを再度作成する必要もなくなります。3つのタイプの支店に関するファイアウォー
ルポリシーは、以下のとおりです。
◦タイプA – ベーシック：ユーザーゾーン（ファイアウォールはトラフィックシェーピングを搭載）
◦タイプB – 最適化：ユーザーゾーン、ゲストゾーン（ファイアウォールはトラフィックシェーピングを搭載）
◦タイプC – 重要：ユーザーゾーン、ゲストゾーン、非武装地帯（DMZ）（ファイアウォールはポリシー上でDiffServ
（Differentiated Services）マーキングを使用し、別のルーターが実際のトラフィックシェーピングを実行）
10
Copyright ©2009, Juniper Networks, Inc.
支店向けUTM（統合脅威管理）実装ガイド
実装する際は、ネットワークを徹底的に構築するために、IPアドレススキーマを明確に定義します。この場合のセキュリティポ
リシーでは、類似しているスーパーネットをベースとしたネットワークのアドレスを使用することができます。ただし、長期間
にわたって構築と拡大を繰り返してきたネットワークの場合は、こうしたシンプルで一貫性のあるIPアドレススキーマの持つメ
リットを生かせない場合が多く見られます。このような種類のネットワークの場合は、複数のネットワークを含むアドレスグルー
プを使用して、シンプルなポリシーを作成することもできます。
スーパーネットをベースとする送信元アドレスおよび宛先アドレスのオブジェクトは、あらゆる支店で採用されており、レイヤー
3/4のアクセス・コントロール用として初期テンプレートを作成します。
支店のファイアウォールポリシーを作成する際は、以下の内容について十分に検討しながら取り組む必要があります。
◦来月または来年までに追加予定の、将来的な拡張計画や新規ネットワーク、IP範囲などを検討。
◦データセンターやDMZ、音声、トリプルプレイ・ネットワークなどや、既存ネットワークに統合予定の新規買収企業などに
伴い拡張する、さまざまなタイプの支店を対象とした汎用的なファイアウォールポリシーの作成に要する期間を延長。
◦他社のエンジニアや別の部署が、自社のIPルーティングやアドレス割り付けを行う場合は、支店のセキュリティポリシー作成
時に話し合いが必要。
実装ガイドライン
このセクションでは、以下のタイプのセキュリティポリシーに関する実装ガイドラインについて説明します。
◦インターネットセキュリティ
◦ゲストゾーン
◦VPNアウトバウンド/インバウンド
◦補完型VPNハブ/データセンター
注：ポリシーと関連ゾーンについて説明する前に、集中ポリシー管理の役割を検討し、UTMをポリシーベースで選択的に有効
にする必要があります。
集中ポリシー管理
NSMの「Security Policy Editor」を使用して、最初にシンプルなファイアウォールポリシーを作成します。
NSMは、オブジェクトやグループ、プロトコルグループに共通のアドレスを割り当てることができるため、NSM内でのオブジェ
クト作成は1回のみです。最初に作成した「支店タイプA – ベーシック」のポリシーを簡素化することによって、1つのセキュ
リティポリシー（テンプレート）を各タイプの支店に使用できます。まず、「支店タイプA – ベーシック」のポリシーを[Save
As]でコピーし、「タイプB – 最適化」を作成します。そして同様に、「タイプC – 重要」ポリシーを作成します。
作成したこれらのポリシーは、各SSGデバイスに適用して試験を実施してから、すべての支店のSSGデバイスに対して「展開」
されます。
UTMをセキュリティポリシーに追加
ジュニパーネットワークスのポリシーをベースとしたアーキテクチャでは、UTMセキュリティ機能の有効性をポリシーごとに
選択できるため、UTMのエンフォースメントの際に、きめ細やかな制御を実現します。このため、UTM機能が有効になる前に、
最初にファイアウォールポリシーを作成して試験を行うことができるのです。
インターネット・セキュリティポリシー（Trustからインターネットゾーン）
以下のポリシーは、インターネット上の脅威に対して支店のローカルユーザーを保護すると同時に、支店のユーザーによっても
たらされる脅威に対してインターネットを保護します。これらのポリシー概要については、図1を参照してください。
ポリシー 100は、全支店のユーザーに対して、インターネット上のメールサーバーへのアクセスを許可します。このメールサー
ビスで使用されているサービスグループには、SMTPやPOP3、IMAP（Internet Message Access Protocol）などがあり
ます。このポリシーではアンチウィルスが有効なため、すべての添付ファイルをスキャンして、不正なコンテンツを含むものは
すべてブロックされます。
「付録B NSMサービスおよび攻撃グループ」に記載されているとおり、MAILプロファイルを使用す
ることでDIが有効になるため、インターネットのメールサーバー上の攻撃を防御します。
Copyright ©2009, Juniper Networks, Inc.
11
支店向けUTM（統合脅威管理）実装ガイド
ポリシー 9は、全支店のユーザーに対して、Port 80または8080（http-ext）上のWebサービスに対するアクセスを許可し
ます。このポリシーでは、アンチウィルスが有効なため、すべてのHTTPベースのファイルのアップロードまたはダウンロード
のスキャンを実行し、不正なコンテンツをブロックします。また、このルール上ではWebフィルタリング機能が有効なため、
URL要求はすべて検証およびレポート作成のためにWebsenseサーバーに対してリダイレクトされます。
「付録B NSMサービ
スおよび攻撃グループ」に記載されているように、HTTP/FTPプロファイルを使用してDIが有効になっています。このため、メー
ルサーバーに対するアウトバウンド攻撃や、不正なWebサイトによるサーバーからクライアントへの（インバウンド）攻撃に
対して、支店のユーザーが感染しないよう防御できます。
ポリシー 20は、全支店のユーザーに対して、インターネット上のFTPサーバーへのアクセスを許可します。このポリシーでは、
アンチウィルスが有効なため、すべてのFTPファイルのアップロードまたはダウンロードのスキャンを実行し、不正なコンテン
ツをブロックします。
「付録B NSMサービスおよび攻撃グループ」に記載されているように、HTTP/FTPプロファイルを使用
してDIが有効になっています。このため、支店のユーザーがインターネットのFTPサーバーに対してアウトバウンド攻撃を送信
しないよう防御できます。
ポリシー 14は、
「付録B NSMサービスおよび攻撃グループ」で作成されたサービスグループを使用し、全支店のユーザーに対
して、DNS（ドメイン・ネーム・システム）やLDAP（ライトウェイト・ディレクトリ・アクセス・プロトコル）などといっ
た他のインターネット・サービスへのアクセスを許可します。このポリシーでは、アンチウィルスが有効なため、すべてのFTP
ファイルのアップロードまたはダウンロードのスキャンを実行し、不正なコンテンツが含まれるファイルをすべてブロックしま
す。
「付録B NSMサービスおよび攻撃グループ」に記載されているように、Inet Appsプロファイルを使用してDIが有効になっ
ています。このため、支店のユーザーがインターネット上でアウトバウンド攻撃を送信しないよう防御できます。
ポリシー 16は、
「付録B NSMサービスおよび攻撃グループ」で作成されたサービスグループを使用し、全支店のユーザーに対
して、MSNまたはYahooメッセンジャーなどといったインターネット・メッセージングへのアクセスを許可します。このポリ
シーでは、アンチウィルスが有効なため、全ファイルのアップロードまたはダウンロードのスキャンを実行し、不正なコンテン
ツが含まれるファイルをすべてブロックします。このため、支店のユーザーがインターネット上でアウトバウンド攻撃を送信し
ないよう防御できます。
ポリシー 8は、trust ゾーン内から発生するすべてのトラフィックに対して、インターネットを含むuntrust サブネットにアク
セスしないよう防御します。このポリシーは、認証されていないプロトコルをすべて防御します。ログ収集とカウンティングが
有効なため、インターネットへの接続がブロックされると、すべて記録されます。
トラフィックシェーピングに関する注記：トラフィックシェーピングは、trustからインターネットに対するすべてのポリシー
上で有効になっています。2番目に低い優先度で設定されているため、帯域は保証されません。このため、支店のインターネット・
アクセス上では、エンタープライズ向けVPNトラフィックの優先度が保証されます。
図1. NSM（Network and Security Manager）のTrustからUntrustに対するポリシー
12
Copyright ©2009, Juniper Networks, Inc.
支店向けUTM（統合脅威管理）実装ガイド
ゲストゾーンのポリシー
以下のポリシーは、ゲストゾーンのある支店にも適用が拡大されます。これらのポリシー概要については、図2を参照してくだ
さい。
ポリシー 24/25は、リソースやログ収集を拒否するという特定のポリシーを実行し、ローカルユーザー（trust ゾーン）やリモー
トオフィス、データセンターのリソース（VPNゾーン）などに対して、ゲストゾーンに接続されているすべてのホストがアク
セスしないよう防御します。カウンティングを指定すれば、これらのネットワークに対してゲストゾーンからのアクセスが防御
された場合に、すべてのログを収集することができます。
ポリシー 26は、ゲストに対して、
「MAIL-Services」グループを再利用し、アウトバウンドSMTPやPOP3、IMAPトラフィッ
クなどを許可する電子メールへのアウトバウンドアクセスを許可します。このポリシーに従い、アンチウィルスとDIを後から有
効にして、電子メールトラフィックに対するUTM防御を実行することができます。
ポリシー 27は、すべての支店のゲストに対して、ポート80または8080（http-ext）上のWebサービスに対するアクセスを
許可します。このポリシーではアンチウィルスが有効になっているため、すべてのHTTPべースのファイルアップロードまたは
ダウンロードのスキャンを実行し、不正なコンテンツが含まれるファイルをすべてブロックします。また、このルールではWeb
フィルタリングも有効なため、Websenseサーバーに対するURL要求はすべてリダイレクトされ、検証およびレポート作成を
行います。
「付録B NSMサービスおよび攻撃グループ」に記載されているとおり、HTTP/FTPプロファイルを使用してDIが有
効となっています。これにより、不正なWebサイトからメールサーバーに対するアウトバウンド攻撃や、サーバーからクライ
アントへの（インバウンド）攻撃によって、支店のゲストが感染しないよう防御できます。
ポリシー 30は、全支店のゲストに対して、インターネット上のFTPサーバーへのアクセスを許可します。このポリシーではア
ンチウィルスが有効になっているため、すべてのFTPファイルのアップロードまたはダウンロードのスキャンを実行し、不正な
コンテンツが含まれるファイルをすべてブロックします。
「付録B NSMサービスおよび攻撃グループ」に記載されているとおり、
HTTP/FTPプロファイルを使用してDIが有効となっています。これにより、支店のゲストがインターネットのFTPサーバーに
対してアウトバウンド攻撃を実行しないよう防御します。
ポリシー 28は、すべての支店のゲストに対して、
「付録A 支店のSSG構成」で作成したサービスグループを使用し、DNSや
LDAPなどといった他のインターネット・サービスへのアクセスを許可します。このポリシーではアンチウィルスが有効になっ
ているため、すべてのFTPアップロードまたはダウンロードのスキャンを実行し、不正なコンテンツが含まれるファイルをすべ
てブロックします。
「付録A 支店のSSG構成」の記述に従い、Inet Appsプロファイルを使用してDIが有効となっています。こ
のため、支店のゲストがインターネット上でアウトバウンド攻撃を実行しないよう防御します。
ポリシー 20は、上述の中で特に指定されていない、ゲストからのその他のトラフィックをすべてインターネット上にドロップ
します。ログ収集とカウンティングでは、暗黙のドロップルールが使用されます。このため、ゲストユーザーによる不正な接続
について、集中的なログ収集を行うことができます。図1を参照してください。
トラフィックシェーピングは、ゲストからインターネットに対するすべてのポリシー上で有効になっています。優先度は一番低
いため、帯域は保証されません。このため、支店のゲストのアクセスよりも、エンタープライズ向けVPNトラフィックと支店
のユーザーが優先的に保証されます。さらに、ゲストが過剰に帯域幅を占領することによって正規のVPNユーザートラフィッ
クに影響が及ぶことがないよう保証できます。このようなトラフィックシェーピングがなければ、たった1人のゲストユーザー
が大容量のファイルをダウンロードしただけでも、上流のリンクが飽和状態になってしまい、ビジネス上で不可欠なトラフィッ
クにまで悪影響が及んでしまいます。
図2. NetScreen Manager（ゲストゾーンに関するポリシー）
Copyright ©2009, Juniper Networks, Inc.
13
支店向けUTM（統合脅威管理）実装ガイド
VPNアウトバウンドポリシー（TrustからVPNゾーン）
以下のポリシーは、支店のローカルユーザーゾーン（trust ゾーン）から発生する不正トラフィックに対して、各支店やVPNヘッ
ドエンドを保護します。これらのポリシー概要については、図3を参照してください。
ポリシー 10は、支店のtrustサブネットから、他の各支店やデータセンターのサブネットに対して、アウトバウンドSIPトラ
フィックを許可します。このルールに適合するトラフィックは、アプリケーション・インスペクションに従い、正規のSIPトラ
フィックのみが有効となります。トラフィックシェーピングが実行されると、SIPトラフィックが最優先となり、アウトバウン
ドSIPトラフィックに対して300kbpsの帯域幅が保証されます。
ポリシー 15は、全支店のtrustサブネットに対して、データセンターネットワーク内の電子メールサービスへのアクセスを許
可します。サービスグループ「MAIL-Services」には、SMTPやPOP3、IMAPなどが含まれています。このルールに適合す
るトラフィックは、アンチウィルスの検疫が必須であるため、インバウンドとアウトバウンド両方のウィルスやワームを防御で
きます。また、DIを実行することにより、作成したMAILプロファイルを使用して、メールプロトコルに対する周知の攻撃を防
御します。トラフィックシェーピングは、メールトラフィックの優先度を、SIPに次ぐ2番目に設定しています。
ポリシー 11は、データセンターのネットワークすべてに対して、全支店のtrustサブネットのHTTPアクセスを許可します。
アプリケーション・インスペクションを実行することで、本ルールに適合する正規のHTTPトラフィックのみが有効になります。
さらに本ルールでは、アンチウィルスとURLフィルタリングだけでなく、DIも有効なため、HTTPプロファイルが周知のHTTP
アウトバウンド攻撃をブロックしたり、サーバーからクライアントへのHTTP攻撃などもブロックします。トラフィックシェー
ピングは、このトラフィックの優先度を、SIPに次ぐ2番目に設定しています。
ポリシー 19は、全データセンターのネットワークに対するFTPクライアントのアクセスを許可します。アプリケーション・イ
ンスペクションにより、有効なFTPトラフィックのみが確実に本ルールに適合するよう保証します。アンチウィルスは、ファイ
ルアップロードまたはダウンロードに含まれるウィルスやワームをすべて検出し、防御します。DIが有効なため、周知のFTP攻
撃からデータセンターのリソースを保護します。トラフィックシェーピングは、このトラフィックの優先度を、HTTPと集中ア
プリケーションに次ぐ3番目に設定しています。
ポリシー 12は、全支店のtrustサブネットに対して、全データセンターのネットワークに付随する集中アプリケーションへの
アクセスを許可します。HTTPSトラフィックに対するURLフィルタリングが有効なため、DIは、あらかじめ作成したエンター
プライズ向けAppsプロファイルを使用して、周知の攻撃を防御します。
ポリシー 6は、trust ゾーン内で発生するすべてのトラフィックに対して、VPNゾーン内でVPNと交差しないよう防御します。
また、ログ収集とカウンティング（LogCount）が有効なため、接続が防御されると、すべて記録されます。
図3. NetScreen Manager（TrustからVPNに関するポリシー）
14
Copyright ©2009, Juniper Networks, Inc.
支店向けUTM（統合脅威管理）実装ガイド
VPNインバウンドポリシー（VPNからTrustゾーン）
以下のポリシーは、他の支店またはVPNヘッドエンドから発生する不正トラフィックに対して、支店のユーザーを保護します。
これらのポリシー概要については、図5を参照してください。
図4. NetScreen Manager（TrustからVPNに関するポリシー）
ポリシー 1は、VPNゾーンから全支店のtrust ゾーンに対するインバウンドアクセスを許可するとともに、SIPを使用するサブ
ネットが企業のVoIPインフラストラクチャに対応するよう許可します。音声トラフィックは、レイテンシや帯域制限の影響を
受けやすいため、このポリシーではトラフィックシェーピングを実行し、インバウンドSIPトラフィックを最優先に設定して
300kbpsの帯域幅を確保します。アプリケーション・インスペクションはDIを使用して、有効なSIPトラフィック（ポート
5060）のみが本ルールに適合しているかを検証します。
ポリシー 18は、支店のtrust ゾーンや、ポート80および8080/8000（http-ext）上のHTTPを使用するサブネットに対する、
VPNゾーンのNOC管理者からのインバウンドアクセスを許可します。アプリケーション・インスペクションはDIを使用して、
有効なHTTPトラフィックのみが処理されているかについて検証します。本ポリシーには、カスタムの攻撃プロファイル（HTTP
プロファイル）が適用され、サーバーからクライアントへの攻撃などといった、重大かつ高度なHTTP攻撃をドロップします。
本ポリシーではアンチウィルスが有効ですが、URLフィルタリングについては、必要に応じてNOC管理者用の送信ポイントで
実行されるため、不要です。トラフィックシェーピングは、このトラフィックの優先度を2番目に設定しています。
ポリシー 2は、VPNゾーンのNOC管理者から、支店のtrust ゾーンと、FTPを使用しているサブネットに対するインバウンド
アクセスを許可します。アプリケーション・インスペクションはDIを使用して、有効なFTPトラフィックのみが処理されている
かを検証します。本ポリシーには、カスタムの攻撃プロファイル（FTPプロファイル）が適用されており、サーバーからクライ
アントへの攻撃などといった、重大かつ高度なFTP攻撃をドロップします。本ポリシーではアンチウィルスが有効ですが、URL
フィルタリングについては、必要に応じてNOC管理者用の送信ポイントで実行されるため、有効にはなっていません。トラフィッ
クシェーピングは、このトラフィックの優先度を3番目に設定しています。
ポリシー 3は、NOC管理者からの各種リモート管理サービスを許可します。このサービスグループ「リモート管理」は、NOC
管理者がICMP（インターネット・コントロール・メッセージ・プロトコル）やTelnet、RDP（Reliable Data Protocol）、
VNC（バーチャル・ネットワーク・コンピューティング）、SSHなどを使用して、支店のユーザーにアクセスすることを許可し
ます。適合する攻撃プロファイル（リモート管理プロファイル）は、これらのリモート管理サービスに対してもDIを適用します。
トラフィックシェーピングは、このトラフィックの優先度を2番目に設定しています。
ポリシー 5は、VPNゾーンから発生するその他のトラフィックが、支店のtrust ゾーン内で終了しないように防御します。ログ
収集やカウンティングが有効なため、接続が防御されると、すべて記録されます。
Copyright ©2009, Juniper Networks, Inc.
15
支店向けUTM（統合脅威管理）実装ガイド
図5. NetScreen Manager（TrustからVPNに関するポリシー）
補完型VPNハブ/データセンターのポリシー作成
VPNハブデバイスは、トンネルの片側でアクセス・コントロールを実行し、重要ながらも二次的な役割を担います。ハイエン
ドなデバイスを数台しか使用していない場合は、特定のルールや変更点などをもっと簡単に日常ベースで管理できます。この段
階で、すべての支店で対応デバイスを導入しなくても、IDPまたはリダイレクトURLフィルタリングなどの追加検査を行うこと
ができます。実装する際は、IDP機能を搭載したISGファイアウォールが、インバウンドやアウトバウンド、バックホール方式
のインターネット・トラフィックなどに対して完全なIDP検査を行います。
データセンターのアドレスオブジェクトとポリシーについても、ヘッドエンドでさらに具体化することができます。例えば、サー
バーの種類（例：ティア1、2、3）やDNSサーバー、メールサーバーなどを分離することができます。既存のデータセンターは、
サブネットで分離できない場合があるため、こうしたデータセンターにとって必要なポリシーだといえます。また、アドレスオ
ブジェクトとグループを使用して、共通のアプリケーションサービスと共通のポリシーを組み合わせることも可能です。
このため、中央のデータセンターのデバイスが必要とするファイアウォールは2 ～ 4つのみであることから、ほとんどのポリシー
を変更することが可能です。こうした方法は、数百～数千台もの支店のデバイスに対してポリシーを再度作成するよりも、はる
かに効率的です。さらに、支店全体に対して汎用的なポリシーを実行することで、トラブルシューティングも容易になり、
VPNの集線装置やデータセンターのファイアウォールで、特定のフィルタリングを追加することも可能です。また、ネットワー
ク管理権限者がデータセンターのチームに対して、支店やVPNグループに影響を及ぼすことなく、デバイスへのアクセスを管
理する権限を委任することも可能です。
16
Copyright ©2009, Juniper Networks, Inc.
支店向けUTM（統合脅威管理）実装ガイド
まとめ
UTM機能とその性能は一般的に、遠隔地に支店を持ち、従来のファイアウォール以上のセキュリティ機能を備えたアクセスを
必要とする、中規模～大規模な企業や政府機関などに最適です。SOX（Sarbanes-Oxley：サーベンス・オクスリー法）や
HIPAA（Healthcare Insurance Portability and Accountability Act：医療保険の相互運用性と説明責任に関する法律）、
PCI（Payment Card Industry）などといった特定の順守要件に対しては、UTMを実装することで、厳しいセキュリティ要件
や性能要件に対しても容易に準拠することが可能です。
UTMの実装と管理により、絶え間なく変化し続ける脅威に対して、支店のセキュリティを確保するという重大なメリットを享
受できます。UTMは、遠隔地の各支店が数百ヶ所に散在する分散型エンタープライズ環境全体において、効率的かつ均一的に
実装可能なため、ネットワーク管理者やIT専門家はセキュリティデバイスを簡単に集中管理できるだけでなく、セキュリティ攻
撃の認識や低減に必要な業務の手間を省くことも可能です。UTMのセキュリティ機能は、ジュニパーネットワークスのポリシー
ベースのアーキテクチャを採用しているため、ポリシーごとに選択して有効にすることができます。このためネットワーク管理
者は、UTMを実行する上で、きめ細やかな制御を実現できます。さらに、支店の共通プラットフォーム上にUTM機能を統合す
ることにより、コストの大幅な削減を実現できるだけでなく、管理もしやすくなるというメリットが生まれます。
ジュニパーネットワークスの製品を使用して、実装ガイドラインの推奨事項に従い実践することにより、分散型エンタープライ
ズ環境全体において、厳格なセキュリティ構築に向けた基礎を築くことができます。これによりネットワーク管理者は、企業の
セキュリティに関する目標を達成できます。本実装ガイドのポリシー作成に関する説明は、共通のシナリオに基づきUTMを使
用して、ビジネスネットワークのセキュリティを確保する上でのベストプラクティスを提供しています。
付録A 支店のSSG構成
支店のSSG構成方法について、主な手順を以下に説明します。
必要なライセンスの取得
SSGデバイスは全種とも、ライセンス供与を受けたUTM機能が内蔵されています。ジュニパーネットワークスが提供するアン
チウィルスやDI、URLフィルタリングは、保有するSSGデバイスのシリアルナンバーに関連付けられており、毎年更新が必要
です。本ガイドの中で実装されている機能については、アンチウィルスとDI（基本パッケージ）の両方が必要です。保有デバイ
スのシリアルナンバーを今すぐ確認する場合は、以下に従い入力してください。
SSG5-D-> get system | include serial
Serial Number: 0168102006001518, Control Number: 00000000
現在設定されているライセンスを確認する場合は、以下に従い入力してください。
SSG5-D-> get license
...
Sessions: 16064 sessions
Capacity: unlimited number of users
NSRP: ActiveActive
VPN tunnels: 40 tunnels
Vsys:
None
Vrouters: 4 virtual routers
Zones: 10 zones
VLANs:
50 vlans
Drp: Enable
Deep Inspection:
Enable
Deep Inspection Database Expire Date: 2009/4/23
Signature pack:
Standard Deep Inspection Pack
IDP:
Disable
AV:
Enable(1)
Antispam:
Enable(1)
Url Filtering:
Expire Date: 2009/4/23
Copyright ©2009, Juniper Networks, Inc.
17
支店向けUTM（統合脅威管理）実装ガイド
マニュアルのライセンス更新については、いつでも以下のコマンドを使用して実施できます。ライセンス更新を開始する前に、
保有デバイスがインターネットにアクセス可能な状態にあるか、また、DNSが正しく設定されているかを必ず確認してください。
ディープ・インスペクションのデータベース更新
SSG5-D-> exec attack-db update (ensure working Internet Default Gateway and DNS)
または
SSG5-D-> save attack-db from tftp 1.2.3.4 attack.db to flash (Manual download from TFTP)
アンチウィルスのデータベース更新
SSG5-D-> exec av scan-mgr pattern-update
AV：パターン更新を間もなく開始します。URL http://update.juniper-updates.net/AV/5GT/
URLフィルタリングの設定（Websenseリダイレクトを使用）
set url protocol websense
set config enable
set server 192.168.4.39 15858 10
set server src-interface bgroup0
exit
NSMへのSSGデバイス追加
NSM管理者ガイドを参照して、デバイスを追加します。「実行可能な」方法が推奨されています。
以下を参照してください。
http://www.juniper.net/techpubs/software/management/security-manager/nsm2008_1/
nsm2008.1_admin_guide.pdf
SSGデバイスの設定をNSMにインポート
既存のSSGデバイスが使用中で、すでにNSMへの追加設定が完了している場合は、デバイスをインポートする方法が推奨され
ています。
セキュリティポリシーを適用してデバイスを更新
デバイスのインポートが無事完了してから、NSM搭載デバイスにセキュリティポリシーを適用し、デバイスを更新します。
18
Copyright ©2009, Juniper Networks, Inc.
支店向けUTM（統合脅威管理）実装ガイド
付録B NSMサービスおよび攻撃グループ
以下の図は、本書のセキュリティポリシーで使用されているNSMディープ・インスペクションの攻撃グループとサービスにつ
いて示しています。最初に必ずこれらのグループを作成してから、本書の説明に従ってセキュリティポリシーに適用してくださ
い。
図6. アウトバンドHTTP/FTPトラフィック（アウトバウンドVPNおよびアウトバウンド・インターネット）用
ディープ・インスペクション・プロファイル
Copyright ©2009, Juniper Networks, Inc.
19
支店向けUTM（統合脅威管理）実装ガイド
図7. その他の共通インターネット・サービス用ディープ・インスペクション・プロファイル
（アウトバウンドVPNおよびインターネット）
図8. インターネットおよびエンタープライズの電子メール検査用ディープ・インスペクション・プロファイル
（アウトバウンドVPNおよびインターネット）
20
Copyright ©2009, Juniper Networks, Inc.
支店向けUTM（統合脅威管理）実装ガイド
図9. 共通のエンタープライズ・アプリケーション用ディープ・インスペクション・プロファイル
（インバウンド/アウトバウンドVPN）
図10. リモート管理サービス用NSMサービスオブジェクト（インバウンドVPN）
Copyright ©2009, Juniper Networks, Inc.
21
支店向けUTM（統合脅威管理）実装ガイド
ジュニパーネットワークスについて
ジュニパーネットワークスは、ハイ・パフォーマンス・ネットワーキングのリーダーです。サービスおよびアプリケーションの
一元化されたネットワークにおける展開を加速するのに不可欠な、即応性と信頼性の高い環境を構築するハイ・パフォーマンス
なネットワーク・インフラストラクチャを提供するジュニパーネットワークスは、お客様のビジネス・パフォーマンスの向上に
貢献します。ジュニパーネットワークスに関する詳細な情報は、以下のURLでご覧になれます。
http://www.juniper.co.jp/
日本
米国本社
米国東海岸
アジアパシフィック
ヨーロッパ、中東、アフリカ
ジュニパーネットワークス株式会社
東京本社
〒163-1035
東京都新宿区西新宿3-7-1
新宿パークタワーN棟35階
電話　03-5321-2600
FAX　03-5321-2700
Juniper Networks, Inc.
1194 North Mathilda Ave
Sunnyvale, CA 94089
USA
Juniper Networks, Inc.
10 Technology Park Drive
Westford, Massachusetts
01886-3146
USA
Juniper Networks (Hong Kong) Ltd.
26/F
Cityplaza One
1111 King’
s Road,
Taikoo Shing, Hong Kong
Juniper Networks Ireland
Airside Business Park
Swords, County Dublin
Ireland
電話　978-589-5800
FAX　978-589-0800
電話　852-2332-3636
FAX　852-2574-7803
電話　35-31-8903-600
FAX　35-31-8903-601
西日本事務所
〒541-0041
大阪府大阪市中央区北浜1-1-27
グランクリュ大阪北浜
電話　888-JUNIPER
(888-586-4737)
または408-745-2000
FAX　408-745-2100
URL　http://www.juniper.net
URL http://www.juniper.co.jp
Copyright© 2009, Juniper Networks, Inc. All rights reserved.
Juniper Networks、JUNOS、NetScreen、ScreenOS、Juniper Networks ロゴ、および JUNOSe は、米国およびその他の国における Juniper Networks Inc. の登録商標または商標です。また、その他記載されているすべての商標、サービスマーク、登録商標、登録サービスマー
クは、各所有者に所有権があります。ジュニパーネットワークスは、本資料の記載内容に誤りがあった場合、一切責任を負いません。ジュニパーネットワークスは、本発行物を予告なく変更、修正、転載、または改訂する権利を有します。
801011-001 JP Jan 2009
22

Download Report