そもそもファイアウォールとは
ファイアウォールは外部からの攻撃や不正アクセスから組織内のネットワークを防御する防火壁の役割として用いられます。一般的に、インターネットと組織内のLANの間に設置し、ファイアウォールを通過する通信は、事前に設定したファイアウォールルールに基づいて制御されます。必要な通信のみを許可し、それ以外をすべて拒否する設定が望ましいとされています。ファイアウォールルールの仕組みの詳細は以下のページをご参照ください。
近年、組織の規模を問わずサイバー攻撃が増加しており、ファイアウォールの導入はインターネットに接続するネットワーク環境にとって必須と言えます。
ファイアウォールだけだとNG!セキュリティ3つの落とし穴
前述のとおり、ファイアウォールの導入はセキュリティ対策において必須と言えます。ただし、ファイアウォールだけで万全とは言えません。ここではセキュリティリスクとなり得る例を3つご紹介します。
1.不審な通信にすぐに気づくことができない
ファイアウォールを導入することで通信を制御できますが、それだけでは不審な通信を完全に防ぐことはできません。不審な通信とは、ファイアウォールルールにより何度も拒否されている通信、VPN接続を何度も試みて失敗している通信、過剰なトラフィック量が発生している通信、業務時間外の通信などさまざまです。そのような通信が発生した際にすぐに気づけない場合、被害が拡大してしまう可能性があります。
2.不審な通信の調査に時間がかかってしまう
不審な通信の調査は一刻を争う状況が多いですが、調査内容は多岐に渡ります。通信の発生した時刻や影響を受けた可能性のある端末、使用されたプロトコル情報やアプリケーション情報などの通信の内訳を把握する必要があります。ログ解析ツールなどを用いていない場合、ファイアウォールの大量のログを手動で解析して調査する必要があり、手間と時間が相当かかります。
3.セキュリティ監査への対応が難しい
セキュリティ監査を実施している組織も多く、対応に時間がかかってしまうケースもあります。ファイアウォールに関して、「ルールの適切な管理がなされているか」「不要な許可ルールを放置していないか」といった点を監査されることがあります。ファイアウォールルールの最適化はパフォーマンス向上やセキュリティリスク抑制のためにも重要ですが、これらを手動で対応するのは効率的とは言えません。
セキュリティの落とし穴に対処するには
上記のようなセキュリティの落とし穴に対処するには、不審な通信が発生した際に迅速に通知する仕組みや、ファイアウォールのログをわかりやすく整理する仕組みが必要です。そのような仕組みは、自動でファイアウォールのログを解析して可視化できるツールを活用することで誰でも簡単に実現できます。
ここからはManageEngineがご提供しているファイアウォールログ解析・可視化ツール「Firewall Analyzer」で具体的に対処する方法をご紹介します。
なお、資料で確認したい方は以下のホワイトペーパーをご参照ください。
Firewall Analyzerで実践する
サイバー攻撃の可視化と痕跡の調査
\ こんな悩みをお持ちの方におすすめ /
「サイバー攻撃の対策をしたいが、何から始めればいいか悩んでいる」
「ログを解析して攻撃の痕跡を調査しているが、時間がかかってしまう」
「予算が限られていて、攻撃の対策まで手が回らない」
1.不審な通信の迅速通知
Firewall Analyzerでは、ファイアウォールで検知された攻撃などの情報をもとに瞬時にアラート発報を行います。アラート情報は、メール配信やスクリプト実行によって迅速に通知できます。
また、画面上でも発生中のアラートを重要度別に色分けして分かりやすく可視化します。各アラートをクリックすると、アラートの詳細画面に遷移できます。これらにより、攻撃を受けた際に早期に対処でき、被害を最小化できます。
Firewall Analyzer 発生中のアラート
2.不審な通信の迅速調査
Firewall Analyzerでは、セキュリティレポート、攻撃レポート、ウイルスレポートなど30種類以上のレポートを標準装備しています。それぞれのレポートの中にも複数のウィジェットが存在していています。
例えば攻撃レポートの中の「トップ攻撃者」というウィジェットでは、ヒット数が多い順に送信元IPアドレスやプロトコルなどをグラフ形式で可視化できます。また、送信元IPアドレスをクリックすることで、攻撃の名称や宛先IPアドレスなどの詳細情報を深掘り調査できます。これらにより、ファイアウォールで検知された不審なサイバー攻撃と疑わしき通信の発生時刻や攻撃者、ターゲット、攻撃の種類などを特定でき、攻撃傾向の把握や今後の対策として活用できます。
Firewall Analyzer 攻撃レポート
3.セキュリティ監査対応の負担削減
Firewall Analyzerでは、セキュリティ監査の要件になりうるファイアウォールルール管理についても多数のレポートを標準装備しています。不要な許可ルールを一覧で把握したい場合は、未使用ルールレポートを活用できます。一定期間使用されていないルールを可視化でき、簡単に棚卸ができます。
また、ルールやコンフィグ情報をもとに、各業界のセキュリティ標準(SANS、NIST、PCI-DSSなど)に対するコンプライアンス準拠状況を表示するレポートやセキュリティ監査レポートもございます。これらにより、セキュリティ監査への対応で必要なデータの収集などにかかる負担を削減できます。
Firewall Analyzer 未使用ルールレポート
Firewall Analyzerは専門知識や経験不要で、誰でも分かりやすい管理画面を備えていることも特長です。インストール不要の体験サイトもございますので、お気軽にお試しください。
