兼松株式会社様への次世代ファイアウォール導入事例

◇MYNOS-2015 年 3 月号-
兼松株式会社様への次世代ファイアウォール導入事例
----- Palo Alto Networks 製品によるネットワーク運用事例 ----次世代ファイアウォールとは、従来型ファイアウォールの特徴であるポート番号、IP
アドレスの組み合わせによる制御から進化し、従来型で不可能であったアプリケーシ
ョンを識別しアクセス制御することが可能なファイアウォールです。
今回は Palo Alto Networks 社製の次世代ファイアウォール「PA シリーズ」の紹介、
兼松株式会社様への導入事例及び次世代ファイアウォール機能を活用したネットワー
ク運用事例についてご説明します。
■次世代ファイアウォールとは
多くの企業は外部から提供されるネットワークアプリケーションをビジネスで利用するように
なりました。例えば Microsoft Office 365 のクラウドサービス、Facebook などの SNS や YouTube
などの動画サービスを業務に利用しています。
しかし、上記の様なアプリケーション利用の増加に伴い、企業の情報セキュリティリスクも増
加しています。なぜなら企業内でのネットワークアプリケーションの利用が進む一方、その通
信の実態がつかめないため、業務用のみならず、私用での利用が見過ごされているという問
題が生じています。従来型ファイアウォールではアプリケーション毎の通信の実態確認が困
難なため、具体的な対策が困難でした。これにより、結果的に管理不可能な通信が増大し、
企業のシステム担当者は頭を悩ませることとなっていました。
【従来型ファイアウォール】
従来型ファイアウォールは IP パケットのポート番号の開閉を IP アドレスとのセットで制御す
ることによりセキュリティを確保してきました。しかし前述のネットワークアプリケーションは
HTTP(80 番ポート)や HTTPS(443 番ポート)といった企業活動において遮断できないポートを
利用し通信しています。そのため従来型ファイアウォールではネットワークアプリケーションの
個々の制御ができないことが問題視されていました。(図 1)
図1
ファイアウォール比較
【次世代ファイアウォール】
Palo Alto Networks 社の次世代ファイアウォール「PA シリーズ」は特許技術 App-ID を用い
てアプリケーションを識別し、可視、制御が可能となりました。ポート番号での制御・遮断のみ
ならず、その上位層のアプリケーション毎に管理が可能となっています。図 2 は App-ID によ
るアプリケーション制御と可視化の実現方法の仕組みで、この技術は以下の 4 つの処理によ
り構成されています。
・アプリケーションプロトコルの検出(Application Protocol Detection/Decryption)
・アプリケーションプロトコルの読解(Application Protocol Decoding)
・アプリケーション識別のためのシグネチャ適用(Application Signature)
・アプリケーションの経験則解析(Heuristics)
図2
App-ID によるアプリケーション制御と可視化の仕組み
また、「PA シリーズ」は特許技術 User-ID を用いて Active Directory(以下 AD)サーバーと
連携し、IP アドレスをユーザー情報と紐づける事を可能にしました。図 3 は User-ID の仕組み
です。標準機能の User Identification Agent(ユーザー識別エージェント)を用いて AD サーバ
ーと通信を行い、ユーザー情報をマッピングします。ユーザー1人1人の通信の可視化、制御
を実現しました。
図3
User-ID
これらの機能により、企業ネットワーク内部で利用されるアプリケーション、情報や利用者を
可視化し、個々の通信を管理する事によりビジネスにおける安全なネットワーク環境を実現し
ました。また、ネットワークアプリケーション毎に制御が可能なため、企業でのセキュリティポリ
シーに則った制御が可能になりました。
この機能の実現が多くの企業に有益であると認められ、シェアを確実に伸ばしており、
2013 年度の Gartner 社選出のネットワークファイアウォール部門でマーケットリーダーの座に
輝いています。
■次世代ファイアウォール導入の背景と経緯
兼松株式会社(以下、兼松)様での次世代ファイアウォール導入当時の課題は主に2つあり
ました。当時導入した Microsoft Office365 に伴う社外向けトラフィックの増加と、当時運用さ
れていたファイアウォール関連機器のコスト面への不満でした。
兼松様では 2012 年 9 月に Office365 を利用開始しましたが、Office365 利用当時は、メー
ルサービス Exchange Online に限定した利用でした。しかし、その後 Lync Online を用いたオ
ンライン会議などのサービス展開が予定されており、兼松様のインターネットトラフィック増加
に伴う他ネットワークサービスへの影響が懸念されていました。
このネットワークトラフィック増加に備えるためには、アプリケーションを可視化する環境を設
け、個別通信を管理できる仕組みを強化する必要がありました。
また、コストに対する悩みとしては、以前は従来型ファイアウォールに加え、IPS(Intrusion
Prevention System:侵入防止システム)機能を含んだアプライアンス製品を利用されていまし
た。しかしメンテナンスの煩雑さや高額な保守費用を削減したいというご要望もありました。
この対策として注目、検討されたのが、1 筐体で従来の IPS 機能を含んだ多段セキュリティ
が可能な次世代ファイアウォールの導入でした。
兼松様での、次世代ファイアウォール導入後のネットワーク運用の視点から、その優れた機
能を集約すると以下の 3 点となります。
1. アプリケーションの可視化及び柔軟な運用の実施
Office365 をはじめとした各種アプリケーションの可視化が進み、従来型ファイアウォール
では実現できないネットワーク上の迅速な障害原因究明、対策が実施でき、不安が解消
される事。
2. AD との連携に伴うユーザーの特定
DHCP 環境を変えることなく特許技術の User-ID 機能により AD と連携し各々のユーザー
の特定が可能となり、障害の原因となっているユーザーに迅速にアプローチできる事。
3. 社内 LAN 内通信の可視化
上記 User-ID 機能とアプリケーションの可視化が進んだことで、外向きの通信だけでなく、
社内 LAN で完結する通信の解析が容易となり、社内基幹システムや社内システムへの
アクセスの可視化、社内 LAN の障害対応が迅速に行えるようになる事。
次世代ファイアウォールの検討から導入までの構成とスケジュールですが、検討から2か月
で導入が完了。当初は 1 台構成で、メーカーからの貸出機にて評価を開始。この時点で高い
効果が確認されましたが、トラフィックの負荷分散と冗長性のため 2 台構成で再検討を始めま
した。運用面を考慮して複数のファイアウォールのポリシーやデバイスを集中管理できる管理
プラットフォーム「Panorama」(Palo Alto Networks 社製品)を 1 台導入する構成に変更したにも
かかわらず、短期での導入が可能でした。
■具体的運用事例
ここでは兼松様への次世代ファイアウォール導入後の具体的な運用事例についてそれぞれ
紹介します。
(1) Baidu IME 問題への対応
ご記憶されている方も多いかと思われる Baidu IME 問題で、次世代ファイアウォールが実績
を上げています。
この事例は偶然にも兼松様での次世代ファイアウォール検証時に発生しました。当時、大
きなニュースにもなりましたが、中国の Baidu 社が提供している日本語入力システム・Baidu
IME をパソコンに導入すると、クラウド上のサーバーと自動的に連携して、変換確定文字列を
ユーザーの知らないバックグラウンドでサーバーに送信しているとして問題となりました。
文字列の送信は、一見それほど重大な問題とは思えませんが、機密性の高い文書の作成
中、内容が漏えいしたりパスワードが漏えいするなどセキュリティ面に問題があります。
兼松様では、当時標準の入力言語サービスとして Microsoft Office IME 2010 を利用され
ていましたが、意図せず Baidu IME をインストールされたエンドユーザーもいらっしゃいました。
そこで当時検証中の次世代ファイアウォールを利用して、Baidu IME を使用しているエンドユ
ーザー情報を調査しました。
図4
アプリケーション識別
図 4 は兼松様エンドユーザーが通信を行った際のアプリケーション情報を表示した管理者
画面です。個別アプリケーションとして Baidu IME が検知がされており、エンドユーザーが
Baidu IME でインターネットへの通信を行っていることが確認できます。また、ポートを 80 番
(HTTP)、443 番(HTTPS)と複合的に利用している事もあり、従来のファイアウォールではこの
ようなアプリケーションの判別ができません。
当時は機器検証期間中であったため次世代ファイアウォール側でアプリケーションの通信
遮断といった制御はせず、クライアント側での Baidu IME のアンインストールで外部通信への
防止を行いました。本事例は兼松様が次世代ファイアウォール導入を決定する強いきっかけ
となった出来事です。”Baidu IME のアプリケーション通信のみを禁止可能な機能”を高く評
価されました。
(2)ネットワーク遅延の原因追跡
次世代ファイアウォール導入後社内ネットワーク環境において、ネットワーク上の輻輳が発
生しました。まずは現状のトラフィック確認のため、当日の時間別、アプリケーション別通信量
の推移から分析を開始しました。(図 5)
図5
アプリケーション別通信量推移
図 5 のグラフの様に管理者の負荷を下げるユーザーインターフェイスが進んでいます。グラ
フを見ると、09:30 以降の itunes-base アプリケーションの通信量が急激に増加していました。
iTunes のダウンロードトラフィックがネットワークに影響を及ぼしていることが原因であると考え
られました。
続いて帯域を占有したユーザー端末の追跡も実施し、管理機能の1つでもあるユーザー
識別機能を用いて障害発生当時の通信量上位の端末(送信元ホスト)を一覧で表示しました。
(図 6)
図6
通信量上位ホスト一覧(一部情報を伏せております。)
図 6 のユーザー名が判別できる管理者画面にて、通信量が極めて大きい送信元アドレス
が2つあることが確認できます。また送信元ユーザー欄にユーザー名表示がなかったため、
Active Directory と紐づいていない、未認証で LAN 接続された機器であることが確認できま
す。
その後、上記2つの送信元ユーザーは、ある特定の部門セグメントのものと判明しました。
その部門では、お客様向けにモバイルデバイスのキッティングを実施しており、キッティング
用の Wi-Fi ルータに接続されたデバイスによる iTunes のダウンロード通信が輻輳原因である
ことが判明しました。
■まとめ
今回次世代ファイアウォールの導入によって、兼松様のネットワーク環境ではネットワークア
プリケーション通信に対しアクセス制御可能な管理された通信ネットワークとなり、”もしものと
き”に備えることができるようになりました。なお、上記の運用事例以外にも様々な障害検出、
分析を行っており、健全なネットワーク環境に向けた、次世代ファイアウォールのさらなる利活
用の期待が高まっています。
解説:ITS 本部 IT サービスマネジメント第一部
塩田昂広