※本ブログはマカフィー エグゼクティブバイスプレジデント 兼 CTO 兼 コーポレートプロダクト担当ゼネラルマネージャー、マイク・フェイによるものです。
次世代ファイアウォールへの移行のビジネスケース(投資の理由や根拠)はどのようなものでしょうか?
まず、次世代ファイアウォールとは、最先端の検知回避機能を持つ高度なマルウェアから貴重なIT資産を保護するものです。この高度な検知回避機能はマルウェアの検知を一層困難にするだけではなく、複数の執拗なエクスプロイトを含むペイロードを保持できるためマルウェアの危険性をさらに高めます。
ファイアウォールシステムは、このような高度なマルウェアの技法からどのように防御を行うのでしょうか? そしてそれは可能なのでしょうか?
早期のファイアウォールシステムは、単純なパケットフィルタリングを使用して不審なペイロードを特定していました。その後、ステートフルパケットフィルタリングの進化により、ファイアウォールシステムは自身を通過するTCP、UDP通信などのネットワーク接続の状態を追跡できるようになりました。また、さまざまな種類の接続の正当なパケットを見分けられました。動的パケットフィルタリングとしても知られるこのテクノロジは、約20年にわたって標準セキュリティ機能として使用されており、ネットワークパフォーマンスの向上とともに拡張されてきました。
現在では、ステートフルインスペクションを複数の段階に分け、基本的な動的パケットフィルタリングだけではなく、フルスタックインスペクション(通信プロトコルのすべてのレイヤーの検査を実行)を含めることができます。
次世代ファイアウォールは、回避検知テクノロジを用い、さらにこの侵入防止機能を拡張する必要があります。この重要な機能を通じて、インスペクションエンジンは、スタックのすべてのレベルで一見問題ないように見えるパケット内に埋め込まれたコードとその他のエクスプロイトを検知できるのです。
また、電子メール、データパケットのような従来のチャネルだけではなく、従来とは異なるチャネル、さらにはATMチャネルやサービスステーションキオスクなどのデバイスを含む、利用頻度が少ないエントリポイントの外側も監視する必要があります。
これらのデバイスは、このようなエントリポイントを使用してクレジットカードファイルなどのシステムの深い部分に到達するインテリジェントなウイルスに感染することがあります。
次世代ファイアウォールには、アプリケーションレベルのインスペクションときめ細かいアクセス制御機能に加え、実行されているアプリケーションとプロトコルを理解し、それぞれに応じてシステムを保護しなければなりません。
また、増大するネットワークのニーズを満たすために動的に調整、改善、拡張が可能である必要があります。重要なポイントは、このレベルの制御が最も効果的に機能するのは、セキュリティアーキテクチャ全体を監視し、戦略を調整できる一元管理環境であることです。
さらに次世代ファイアウォールには、エクスプロイトに対処できること、データセンター、サーバファーム、ネットワーク、サービスを提供する企業への日常業務への影響を最小限に抑えてシームレスに機能をアップグレードできることが求められます。
この市場は、小規模な分散フランチャイズから、グローバルな企業、公共事業、通信会社、政府機関、MSSPまで広範に渡り、各セグメントには、純粋なデータ保護から、複雑なネットワークと企業の保護要件への対応まで、独自のセキュリティ優先事項があります。適切なセキュリティ戦略を立てれば、ビジネスの継続を実現するだけでなく、新しいビジネスチャンスを識別して活用する機会を得ることが可能になるのです。
※本ページの内容はMcAfee Blogの抄訳です。
原文:What is a Next-Generation Firewall?