IPCOM の新アプリケーション・ファイアーウォール 機能の - PFU

IPCOM の新アプリケーション・ファイアーウォール
機能の開発について
The new application firewall function for IPCOM
上山敬和 *
阿久津 寛 *
山下康一 *
中臣国雄 *
Yoshikazu Ueyama
Kan Akutu
Koichi Yamashita
Kunio Nakatomi
*
ソリューション&ソフトウェアグループ アプライアンスソフトウェア事業部 ネットワークアプライアンス開発部
IPCOM EX シリーズは,統合型ネットワークアプライアンスとして,負荷分散,帯域制御,各種セキュリティ
機能などを提供してきた.近年のインターネット利用の多様化と,
Web アプリケーションの急速な利用拡大に伴い,
従来型のファイアーウォールに対して,
今後生じると予想される新たな課題に対する解決策として,
アプリケーショ
ン辞書を利用した新しいタイプのアプリケーション・ファイアーウォール機能を開発した.本稿では,2012 年 6
月に出荷を開始した,IPCOM EX シリーズの新アプリケーション・ファイアーウォール機能の優位性と導入効果
について紹介する.
IPCOM EX series is an integrated network appliance. Many features have been developed
for this appliance such as load balancing, bandwidth control, and various security functions.
With the rapid increase in the use of Web applications and internet usage diversification,
new security risks for conventional firewalls in the future are anticipated. To deal with these
security risks, we developed a new type of application firewall function that uses an application
dictionary. This paper introduces the advantages and effects of using the new application
firewall function for the IPCOM EX series, which was released in June 2012.
1
まえがき
インターネット
イントラネット
Webアプリケーション
近年,企業や組織を取り巻くシステム環境が大きく変
化してきており,ICT(情報通信技術)の利用シーンも
変化し,拡大している.具体的には,スマートフォンや
Bi
tTor
rent
クラウド・
コンピューティング
twi
t
ter
用やソーシャルネットワークサービス(以降,SNS)
,
ル共有サービスやビデオ共有サービスなどのアプリケー
ション利用の急増,クラウド・コンピューティングの台
閲覧
※1
facebook Google
タブレットなどの多様なデバイスによるネットワーク利
P2P(ピアツーピア.端末間の直接相互通信)
,ファイ
ファイル共有
webex
mixi
投稿
YouTube※1
利用デバイス
(スマートフォン,タブレットなど)
Webブラウザ通信
(SNS,ファイル共有など)
※1 Google,および YouTube は,Google Inc. の登録商標または商標である.
◆図 - 1 最近の ICT 環境◆
頭により,外部サービス会社が提供するクラウドサー
(Fig.1-Recent ICT environment)
ビスを利用した情報系システムの構築が増加している.
図 - 1に最近の ICT 環境イメージ図を示す.
これらのインターネット利用の多様化に伴い,不正サ
イトへの誘導,マルウェアの拡散,外部情報漏えいなど
の脅威ルートが新たに出現するのと同時に,脅威の影響
範囲も,個から,組織や社会インフラなどまで広がり,
14
情報セキュリティを取り巻く環境にも影響を与えてきて
いる.
セキュリティ対策も,従来からある脅威の侵入を防御
する対策に,情報の窃取を防御する対策を加えて,多段
PFU Tech. Rev., 23, 2,pp.14-21 (11,2012)
IPCOM の新アプリケーション・ファイアーウォール機能の開発について
化(階層構造化)した複雑なものとなってきている.
注1), 参1)
IPCOM(アイピーコム)EX シリーズ
では,
これらの変化に対応し,様々な脅威からシステム環境を
防御し,安全で安定したセキュリティ環境を実現するた
断し,ネットワークシステムを麻痺させる悪質な DoS/
DDoS 攻撃からもシステムを保護するアノマリ型 IPS
(Intrusion Prevention System,侵入検知および防
御)機能.
めに,多段化したセキュリティ対策機能やネットワーク
制御機能をシンプルに一台に集約して提供してきた.
さらに,OS やネットワークアプリケーションに対し
て新たな脆弱性や攻撃パターンが発見されたときに,タ
今回は,特に,利用者が急増し,利用実態が掴み難
イムリーに攻撃パターンに対応したシグネチャーを提供
く,情報漏えいのリスクが高い SNS や P2P,ファイ
し,悪意のある攻撃や侵入トラフィックをシグネチャー
ル共有,ビデオ共有サービスなどの新世代の Web アプ
ベースで検知,遮断するシグネチャー型 IPS 機能.
リケーションも視野に入れた防御対策に取り組んだ.本
(3)
アンチウィルス機能(AV)
編では,セキュリティ環境の変化に伴い,従来型のファ
電子メール,Web アクセス通信,FTP アクセス通信
イアーウォールに対して,今後生じると予想される新た
で転送されるコンピュータウィルス,マルウェア,ワー
な課題に着目して,アプリケーション辞書の開発を通し
ム,トロイの木馬を,リアルタイムで高速に検出し,ネッ
て,現ファイアーウォール機能や帯域制御機能と連携さ
トワークを経由したウィルスの感染や拡散を防止する機
せることで,次世代のファイアーウォールの基盤となる
能.
機構の実現について説明する.
(4)
Web コンテンツ・フィルタリング機能(WCF)
Web ページの情報をカテゴリごとに分類したデータ
2
ベースを利用して,有害サイトやマルウェア配布を行う
開発の背景
危険なサイト,業務に関係のないサイトへのアクセスを
2.1 IPCOM でのセキュリティへの取り組み
これまで IPCOM EX シリーズが取り組んできた,
防止し,ネットワーク負荷の軽減や,労働生産性の向上,
アダルトサイトの画面を表示させることによるセクシャ
安全で安定したネットワークシステムを保証するための
ルハラスメントなどの法的責任問題発生のリスクを軽減
統合セキュリティ管理機能には,主に 5 階層の機能が
する機能.さらに,サイバー攻撃やスマートデバイスを
存在する.
狙った攻撃への対策として,C&C(コマンド&コント
(1)
アプリケーション・ファイアーウォール機能(FW)
注2)
ロール)サーバなどの不正攻撃サイト,標的型攻撃で使
ベースで,アプリ
用される可能性のあるサイトやマルウェアを配布するサ
ケーションのコンテンツレベルまで精査し,P2P アプ
イトなどの悪質サイトの URL リストへの登録を強化.
リケーションやダイナミックポートアプリケーションの
(5)
Web アプリケーション・ファイアーウォール機能
ステートフルインスペクション
(WAF)
自動認識機能も備え,アプリケーションに対する不正ア
インターネットバンキング,電子商取引システム,企
クセスや許可されないアクセスからネットワークシステ
ムを強力に保護する機能.
(2)
IPS 機能(IPS)
業内の電子申請システムなど,様々なミッションクリ
ティカル注3)な用途で利用される Web ベースのアプリ
ネットワークシステムの探索に使用される不正な
ケーションや利用者を狙った SQL インジェクション
ポートスキャンパケットや TCP シーケンス番号ハイ
攻撃注4)やクロスサイトスクリプティング攻撃注5)などを
ジャックなどの危険なパケット,または悪意のあるアプ
リケーションレベルのコマンドやコンテンツなどを遮
注1)IPCOM EX シリーズは,ネットワークシステムを構築する
サーバやストレージの前段に配備され,安全で安定したネット
ワーク運用環境を実現するために必要となる負荷分散,帯域制
御,セキュリティ脅威に対応した統合脅威管理(UTM)など,
システムフロントに求められる機能を統合させたアプライアン
ス装置として,お客様のセキュアなネットワーク環境を支え続
けている.
注2)ステートフルインスペクション
パケットの状態を調査して動的にポートを開閉し,不正なパ
ケットがファイアーウォールを通過するのを防ぐ機能.
PFU Tech. Rev., 23, 2, (11,2012)
注3)ミッションクリティカル
24 時間 365 日,止まらないことを要求される基幹業務,又は
そのような業務遂行のために使用されるコンピューターシステ
ムのこと.
注4)SQL インジェクション攻撃
セキュリティホールの一種で,データベースを含んだ Web シ
ステムのアプリケーションに対し,データベース用プログラム
の SQL 文を使って,データベースの改ざんや不正に情報を入
手すること.
注5)クロスサイトスクリプティング攻撃(XSS 攻撃)
セキュリティホールの一種で,Web アプリケーションの脆弱性
を利用し,異なる Web システムと連携した悪意あるスクリプ
トを Web システムに混入すること.
15
IPCOM の新アプリケーション・ファイアーウォール機能の開発について
検知,防御し,クレジットカード番号の隠蔽機能も備
しかし,それらの戦略的用途の Web アプリケーショ
え,Web サーバや Web アプリケーションのサービス
ンの通信を許可すると,企業活動に直接関係ない不適
停止や個人情報の漏えいやデータ改ざんなどの脅威から
切な SNS やビデオ配信サイトへの情報の投稿なども
参2)
Web ベースのシステムを強力に保護する機能
.
同時に許可することになる.これらは,同じポート番
図 - 2に,5 階層のセキュリティ管理機能の防御機能
号を使用するため,区別してアクセス制御することが
が連携して動作することで,内部や外部からのセキュリ
困難になってきている.さらに,Web アプリケーショ
ティ脅威を排除するイメージ図を示す.
ンの中には最初からファイアーウォールや URL フィ
このように,IPCOM EX シリーズでは,5 階層の防
ルターさえも通過させることを意図した Skype 注6)や
護機能を 1 台に集約し,統合的なセキュリティソリュー
Hamachi 注7)などのアプリケーションもある.つまり,
ションを提供してきた.
Web のブラウジングを許可しただけで,数多くの Web
アプリケーションが既存のファイアーウォールをすり抜
2.2 新アプリケーション FW 開発の必要性
けていってしまう.
図 - 3に,通過を許可した通信で内部情報が漏えいす
近年の Web アプリケーションの増加は,従来型の一
般的なファイアーウォールの IP アドレスやポート番号,
る様子を示す.
及びプロトコル番号の組み合わせや条件付けによるフィ
Web アプリケーションそのものは,企業活動の中で
ルターを定義していく方法では,攻撃パターンや手法の
重要な役割を果たすものであるため,全てを規制の対象
変化への追従が困難になってきている.IPCOM でも5
にはできない.近年,インターネットを通じて得られた
階層機構の中のアプリケーション・ファイアーウォール
膨大なデータ群から,即時にトレンドや未来予測をする
機能には,設定が複雑化することで,攻撃パターンや手
ことが期待されているビッグデータ分野が注目されてお
法の変化への追従が困難になってしまうという,同様の
り,分析された情報をマーケティングに有効利用するた
問題が内包されており,次世代のファイアーウォールと
めの Web アプリケーション利用は,企業活動に欠かせ
しての取り組みが必要となってきた.
ないものになっていくことが予想される.
(1)
従来の一般的なファイアーウォールの限界
多様な Web アプリケーションが提供されている中,
近年,企業間取引(BtoB)や企業対一般消費者間取引
一方,それと同時に,Web アプリケーションへの不
適切なアクセスが,企業情報の漏えいリスクや,企業の
信頼及びイメージの低下を招くリスクが高まってきてい
(BtoC)といったインターネットを使用した電子商取
引は企業活動の中で重要な位置を占め,Web アプリケー
ションにアクセスできないと企業活動は機能しない.ま
た,クラウドの利用や SNS を使用した広報活動ではイ
既存ファイアーウォール
Webブラウザ通信など遮断できないネットワーク通信を利用し,
悪意を持ったアプリケーションも侵入が可能
Webブラウザを
通信許可
インターネット
ンターネットのサーバへ接続するため,主に TCP の
80 番や 443 番といった HTTP
(S)
通信で使用するポー
アプリケーション
ト番号を許可する必要がある.
インターネット
twi
t
ter
5階層の防御機能
業務
Web
許可
facebook
イントラネット
検索/メール
投稿
不正アクセス
イントラネット
可
防御不
防御
会社機密情報を誤って
公開漏えいした情報は
回収不可能!
FW
IPS
AV
マルウェアによる乗っ取り
誤操作/内部犯罪など
顧客情報の漏えい
WAF
WCF
◆図 - 3 情報漏えいのリスク◆
(Fig.3-Information leakage risks)
注6)Skype
◆図 - 2 セキュリティ管理機能 5 階層の防御機能◆
(Fig.2- Five level layer protection function of the
security management function)
16
音声およびビデオ通話やチャットが行えるソフトウェア.
注7)Hamachi
VPN(仮想プライベートネットワーク)を実現するソフトウェ
ア.
PFU Tech. Rev., 23, 2, (11,2012)
IPCOM の新アプリケーション・ファイアーウォール機能の開発について
る.
これらの現状が背景となり,
従来型ファイアーウォー
ことを目指した,新しいタイプのアプリケーション FW
ルに対して,リスク排除を図りながら,有益な Web ア
機能(以降,
新アプリケーション FW 機能)を開発した.
プリケーションを利用するための,早急な対策が求めら
これは,アプリケーションの名前(または識別番号)を
れてきている.
定義するだけで簡単に多種多様なアプリケーションが制
(2)
現 IPCOM アプリケーション FW の現状
御できる,従来のアプリケーション FW 機能に生じる
IPCOM EX シリーズが従来から取り組んできた「ア
新たな課題を解消する機能であり,ファイアーウォール
プリケーション FW 機能」は,早い段階から通信ポー
の定義に必要となるアプリケーションの情報群を辞書と
トによるアクセス制御だけではなく,Web アプリケー
いう形式で製品に組み込み,FW 機能と連携させる方式
ションに応じて HTTP メソッド,バージョン,URL,
である.
HTTP ヘッダーなどを組み合わせ,きめ細かくアクセ
これにより,新アプリケーション FW 機能を利用す
スを制御する機能を提供している.これにより,Web
ることで,これまで,アプリケーションを識別するため
アプリケーションの識別は可能である.これらの設定に
の条件を管理者自身が専門的な知識を駆使して作成して
は,対象となる Web アプリケーションのネットワーク
いた労力を完全に排除することができ,管理者の運用負
パケットを採取および解析し,ファイアーウォールを設
荷を抑えることができる.
定するための通信パターンや識別条件を調査する必要
新アプリケーション FW 機能のコア技術は,
「アプリ
がある.従来であれば,脅威の対象となるアプリケー
ケーション辞書」と呼ぶデータベース機能である.以下
ションの数も限られており,事前調査と定義については,
に,アプリケーション辞書の詳細と利点を示す.
ネッワーク管理者の経験とスキルで十分対応可能であっ
た.しかし,制御対象となる Web アプリケーションは,
3.1 アプリケーション辞書
代表的なところで,Twitter,mixi,Google(検索,
アプリケーション辞書は,プロトコルやアプリケー
ウェブメール,カレンダー,地図など)
,YouTube,
ションの名前とそれらを識別するための各種情報で構成
Facebook などを始めに,今や枚挙にいとまがないほ
されたデータベースである.アプリケーション辞書には,
ど,様々なアプリケーションが普及している.そして,
各種通信プロトコルやポート番号ベースのアプリケー
新しい Web アプリケーションによるサービスは,現
ションに加え,HTTP プロトコルベースの Web2.0 技
在でも増え続けている.また,一度定義した情報でも,
術が採用された,SNS,メディア共有サービス,ブロ
URL や HTTP ヘッダー情報が変更されるため,継続
グ,掲示板,オンラインストレージサービス,チャット
したメンテナンスが必要となる.
やメッセンジャー,P2P,ファイル共有アプリケーショ
さらに,増え続けるアプリケーションに対して,ネッ
ン,リモートコントロールアプリケーションなどが登録
トワーク管理者は,サービスの詳細や特性,及びリスク
されている.表 - 1に,アプリケーション辞書に登録さ
内在の有無や自社に与える影響範囲などについての広範
れているアプリケーションごとの定義情報を示す.
な知識を持ち合わせた上で,利用範囲を定めたセキュリ
ティポリシーを決定する必要がある.
特に,リスクレベルは,アプリケーションを利用す
る際の危険度を示しており,管理者がアプリケーション
このような状況で,現 IPCOM のファイアーウォー
を制御,監視する際の判断基準に利用できる.リスクレ
ル定義でセキュリティ管理を運用していくには,近い将
ベルは,アプリケーションの特性(セキュリティ回避能
来,ネットワーク管理者の負担や管理コスト増大を招く
力,情報漏えいの危険性,ファイル転送能力,リモート
ことが予想され,このことが新たな課題として浮上して
コントロール能力,既知の脆弱性の有無,多くの帯域を
きた.
消費する可能性,知名度や公衆性)とセキュリティ脅威
(情報漏えい,データ改ざん,踏み台,マルウェア感染,
3
新アプリケーション FW の開発
これまで述べてきた背景を踏まえ,ネットワーク管
DoS 攻撃や不正アクセスに利用される可能性)の観点
から,総合的に評価して独自に決定している.
表 - 2に,リスクレベルの定義を示す.
理者の管理コストの負荷軽減を目的とした定義設定を提
また,アプリケーション辞書は,アプリケーション
供し,企業でのセキュリティポリシーの計画と実践にお
ごとに,アプリケーションの詳細情報を記載したヘルプ
いて,スピーディな意思決定が図れるよう拡張していく
ファイルを提供している.管理者は,ヘルプファイルを
PFU Tech. Rev., 23, 2, (11,2012)
17
IPCOM の新アプリケーション・ファイアーウォール機能の開発について
参照することで,アプリケーションの詳細や特性,リス
せて,アプリケーションをどのように制御すべきかの判
クを理解することができ,組織のポリシーに照らし合わ
断材料に利用できる.図 - 4に,アプリケーション辞書
のヘルプファイルの例を示す.
◆表 - 1 アプリケーションごとの定義情報◆
項目
説明
アプリケーション ID
アプリケーションを一意に識別するため
の 8 桁の識別番号.ファイアーウォール
や帯域制御の定義,ログ情報などで使用
する.
アプリケーション名
アプリケーションの略記名.ファイアー
ウォールや帯域制御の定義,ログ情報な
どで使用する.
概要
アプリケーションの正式名称と概略説明
グループ
アプリケーションが属するグループの名
前.7 種類のグループを定義している.
カテゴリ
アプリケーションが属するカテゴリの名
前.35 種類のカテゴリを定義している.
リスクレベル
アプリケーションのリスクレベル.アプ
リケーション特性とセキュリティ脅威の
観点から判定されるセキュリティ面の危
険度を 5 段階(1 ~ 5)で示す.
関連
アプリケーション
識別情報
このアプリケーションに関連するアプリ
ケーションの情報.ファイアーウォール
や帯域制御を定義する際の優先順位を示
す.
アプリケーションを識別するための情報.
Web アプリケーションの場合,ポート番
号,サーバの FQDN,HTTP メソッド,
HTTP ヘッダー情報などの要素の組み合
わせで構成される.
3.2 アプリケーション辞書の利点
(1)
アプリケーション制御の定義が簡単
新アプリケーション FW 機能を利用してアプリケー
ションを制御するには,アプリケーション辞書から制御
するアプリケーション名またはアプリケーション ID(識
別番号)を選択して,アクセス制御ルールに指定するだ
けで完了する.
例えば,
「Youtube」を従来の FW 機能で定義する
場合は,図 - 5の左側のようなフィルター条件定義が
必要であった.一方,新アプリケーション FW では,
図 - 5の右側のように「Youtube」のアプリケーショ
ン名を選択するだけで良い.
図 - 6に,アプリケーションの選択画面を示す.管理
者は,アプリケーションの識別条件を意識する必要はな
く,ヘルプファイルの関連アプリケーション欄に記載し
ている設定条件に注意するだけで良い.
また,インターネット上で提供されている Web アプ
リケーションは,アプリケーションの追加やアプリケー
ションの変更でアプリケーション識別条件に変更(例え
ば,ホスト名の変更,URL の変更,HTTP ヘッダー
情報の変更など)が発生する場合があるが,アプリケー
ション辞書を更新するだけで,従来のようにアクセス制
御ルールを修正する必要がない.アプリケーション辞書
◆表 - 2 リスクレベルの定義◆
リスクレベル
説明
5(極めて大きい) 意図せずに不特定多数への情報漏えい,個
人情報の漏えい,マルウェア感染,帯域の
消費,DoS 攻撃や不正アクセスに利用され
る可能性があるなど,セキュリティ面のリ
スクが非常に大きいアプリケーション.
4(大きい)
利用者の誤操作や設定ミスによる情報漏え
い,個人情報の漏えい,マルウェア感染,
帯域の消費など,セキュリティ面のリスク
が大きいアプリケーション.
3(中程度)
通常の利用でセキュリティ面の問題の発生
する可能性は低いが,個人情報の漏えい,
マ ル ウ ェ ア 感 染, 不 正 ア ク セ ス ツ ー ル と
しての利用などの可能性があるアプリケー
ション.
2(小さい)
通常の利用でセキュリティ面の問題が発生
する可能性が低いアプリケーション.
1(極めて小さい) 通常の利用でセキュリティ面の問題が発生
する可能性がほぼないアプリケーション.
18
が更新されると,変更があったアプリケーションの識別
情報がファイアーウォールに配信,適用され,新しい識
別情報で制御が実行される.
◆図 - 4 アプリケーション辞書のヘルプファイル例◆
(Fig.4-Help file for the application dictionary)
PFU Tech. Rev., 23, 2, (11,2012)
IPCOM の新アプリケーション・ファイアーウォール機能の開発について
このように,アプリケーション辞書と連携した新アプ
リケーション FW は,管理者の運用負荷を大きく軽減
する効果がある.
(2)
帯域制御機能と連携可能
Web アプリケーション利用のリスクは,これまであ
げてきたセキュリティ観点のリスクだけでなく,ネット
ワークの帯域を有効利用する観点においてもリスクを抱
えている.例えば,ビッグデータを扱うアプリケーショ
【従来FW】
class-map match-any youtube_head type http
match http-head Host *.youtube.com match http-head Host *.ytimg.com
! class-map match-all youtube type http
match destination-port http
match class-map youtube_head
! ・
・
access-map acm_youtube inbound
rule 10 youtube any any http
service-map srvc_youtube
action accept
!
!
service-map srvc_youtube type http
rule 10 youtube
action accept
!
!
【新FW】
ンが,トラフィックを大量に消費して,突発的にネット
ワークのパフォーマンス低下を招き,企業内の他業務の
生産性に影響を与えるケースなどである.これには,通
信の帯域利用状況を監視しながら,予め決められた帯域
内で通信量を制御し,突発的な帯域消費を抑制する帯域
制御機能が有効となる.
IPCOM ではアプリケーション辞書をファイアー
Youtubeを選択
ウォールだけでなく,その帯域制御機能にも連携可能で
ある.そのため,帯域制御機能でもファイアーウォール
機能と同様に,アプリケーション辞書からの選択で帯域
クラス定義が可能となり,運用管理の負荷が軽減され
る.これは,統合トラフィック管理アプライアンスであ
る IPCOM ならでの利点である.
◆図 - 5 従来 FW と新 FW の定義例,比較◆
(Fig.5- Comparison of old and new firewall definition
examples)
これにより,Web アプリケーションと他業務のトラ
フィックを適正に保ち,安定したネットワークパフォー
マンスを維持できる.また,ファイアーウォール機能と
◆図 - 6 アプリケーションの選択画面◆
(Fig.6-Application selection screen)
PFU Tech. Rev., 23, 2, (11,2012)
19
IPCOM の新アプリケーション・ファイアーウォール機能の開発について
組み合わせることで,不適切な Web アプリケーション
の利用制限,有益な Web アプリケーションのパフォー
マンス維持等のきめ細かな制御が可能となる.
(1)運用状況の可視化
(2)運用状況の分析
・通過アプリケーションの可視化
(トラフィック量,セッション数)
・傾向分析(定常状態の把握)
・ファイアーウォール・ポリシーの
検証
運用と最適化
例えば,ある SNS アプリケーションの参照はできる
が,書き込みはできなくする,さらに,参照を許して
(4)運用ポリシーの評価
(3)運用ポリシーの変更,適応
も他業務の月次処理などの繁忙期には SNS アプリケー
・ファイアーウォール・ポリシー/
セキュリティーアラートの評価
・ファイアーウォール・ポリシー/
セキュリティーアラートの設定,
変更(通過,破棄)
ションの帯域利用を絞り,他業務トラフィックを優先処
理させるなどの運用ができる.
◆図 - 7 ファイアーウォール機能の運用と最適化例◆
これは,Web アプリケーションを一律に禁止するの
ではなく,利用範囲を企業内のニーズに応じて設定する
(Fig.7- Example of optimization and operation for
the firewall function)
ことで,セキュリティリスクを排除しながら,本来享受
できる利便性や業務効率化を損なうことなく,企業活動
の有効な情報アイテムとして,Web アプリケーション
を運用できるユーザーメリットを生み出す.
程度使用したのかを可視化する機能を提供する.
(2)
運用状況の分析
IPCOM では,今回のアプリケーション辞書の実装
運用状況を可視化し,長期間蓄積することで定常状態
により,企業での Web アプリケーション運用をより戦
やネットワークの使用傾向を把握することができ,定常
略的に活用するための基盤提供ができたと考える.
状態と比較することにより,運用で発生している異常状
態を容易に分析可能とする.
4
今後について
(3)
運用ポリシーの変更,適応
運用状況の分析により,アプリケーションや情報漏え
Web アプリケーションを利用して得られる効果を最
いの引き金になるアプリケーション(P2P ファイル共
大限に引き出す運用を維持していくためには,企業内で
有アプリケーションやオンラインストレージサービスな
の利用状況の推移を監視することが重要となり,新しい
ど)をだれが使用しているか監視することができ,ネッ
Web アプリケーションの登場にも柔軟に対応できる仕
トワーク管理者は,監視結果にもとづいて,ファイアー
組みが必要となる.
ウォール・ポリシーの変更をスムーズに行うことができ
そのため,次のステップでは,アプリケーション辞書
るようにする.また,定常状態で流れているアプリケー
と連携して,企業内で流れているアプリケーションを,
ションをホワイトリストとして登録し,ホワイトリスト
可視化する機構を提供し,リスクの高いアプリケーショ
以外のアプリケーションが検出された場合,メールなど
ンをリアルタイムに検知・排除して,
安定したネットワー
でユーザーに通知することにより,リアルタイムの異常
クの運用を維持する機構を検討していく.
監視を可能とする.
セキュリティやサービスレベルを維持,最適化するた
めには,ネットワーク・トラフィックの状態を常に監視
(4)
運用ポリシーの評価
リアルタイムで運用状態を確認できるモニタを提供
し,異常が発生したらリアルタイムで対処することや,
することにより,現在行われている運用が運用ポリシー
中長期レンジで監視したデータを蓄積,分析する機能,
通りに行われているか,定常状態と比べ,異常な状態が
そして分析結果をファイアーウォール,帯域制御などの
発生していないかをリアルタイムで確認できるようにす
ポリシー設定へスムーズに反映する機能が必要となる.
る.また,セキュリティアラート等により迅速に異常を
管理者がネットワークを常に最適化していくために
検知可能とする.
は,図 - 7のような運用サイクルが必要と考える.
以下に運用シーンごとでの今後の取り組みを説明す
る.
(1)
運用状況の可視化
5
むすび
新ファイアーウォール機能は,
新しいWebアプリケー
IPCOM を通過するトラフィックを自動的にアプリ
ションの台頭とともに,従来アーキテクチャに加えてア
ケーションごとに分類(分類はアプリケーション辞書を
プリケーションを可視化し,様々なサービスとの連携が
使用)し,そのアプリケーションをいつ,だれが,どの
期待されるものである.IPCOM では,今後認証サービ
20
PFU Tech. Rev., 23, 2, (11,2012)
IPCOM の新アプリケーション・ファイアーウォール機能の開発について
スとの連携や運用状況を監視しながら,従来のセキュリ
ティ機能と融合させて,トータルなネットワークセキュ
リティを提供していく.
参考文献
参1)富士通ネットワークサーバ IPCOM シリーズ紹介ホームページ
http://fenics.fujitsu.com/products/ipcom/
参2)阿久津ほか:Web アプリケーションを守る IPCOM EX シリー
ズの WAF 機能,PFU Tech.Rev.,20,2,pp.34-41(2009).
PFU Tech. Rev., 23, 2, (11,2012)
21