セキュリティの現場から from バラクーダラボ(248) 次世代ファイアウォールの導入計画

ガートナーのバイスプレジデントであるグレッグ・ヤング（Greg Young）氏は、2017年までに企業の30%が次世代ファイアウォールを導入すると予測しています。インターネットの脅威、ハッカーによる攻撃、マルウェアなど、企業各社は終わることのない戦いを続けていますが、ネットワークセキュリティ戦略を強化する方法の1つとして、次世代ファイアウォールを活用することができます。次世代ファイアウォールは、アプリケーション制御、ユーザの可視化、コンテンツフィルタリング、侵入防止という各種機能を1つのプラットフォームに凝縮したソリューションであり、普及が進むクラウドとモバイルアプリケーションのセキュリティを確保します。ほとんどの次世代ファイアウォールでは、このような機能をすべて一元管理できます。

次世代ファイアウォールへのアップグレードを検討されている方は、次のような点に注意が必要です。

徹底したテスト

十分なテストを行わずに使用中のファイアウォールを次世代ファイアウォールに移行してしまうと、非常に深刻な結果を招く恐れがあります。運用環境を再現したテストラボを設置し、可能であればトラフィックのシミュレーションを行ってください。このような方法でテストを行う場合の注意点を以下にまとめます。

ファイアウォールルールセット：ネットワークの外部から内部、内部から外部への通信について、許可するアクセスと拒否するアクセスをルールで指定します。十分なテストを行い、どのようなルールを作成すればよいかを判断してください。

パフォーマンス：古いファイアウォールの仕様に基づいて、新しいファイアウォールハードウェアのサイジングを行います。アプリケーション制御やマルウェアスキャンといった新機能を追加する場合には、古いスペックでは対応しきれない場合もあります。また、最適なレベルのパフォーマンスを達成するには、スケールアップが必要になることもあります。

設定：新しいインターフェイスやレポートには、魅力的な機能が多数搭載されていることでしょう。しかし、ファイアウォールの管理機能について、他のチームメンバーの意見も参考にする必要があります。また、VPNやファイアウォールルールの作成機能についても意見交換しましょう。機能性や使い勝手は、ユーザによって評価が異なる場合があります。

導入とバックアウトのプラン作成

ファイアウォールの導入プランの作成では、次の点に注意が必要です。

ファイアウォールをアップグレードすることを、ビジネス部門の関係者に通知してください。インターネットにアクセスするアプリケーショントラフィックは、すべてファイアウォールを経由します。したがって、ビジネス部門で使用されているアプリケーションがオフライン状態になる可能性があることを、関係者すべてに通知しておく必要があります。管理者は、週末などピーク以外の時間帯にメンテナンスを計画し、ビジネスに及ぼす影響を最小限に留める必要があります。さらに、ファイアウォールのアップグレードが失敗した場合に備えて、バックアウトプランを作成しておきましょう。たとえば、ネットワークトラフィックを通常通りに送受信できない場合には、原因としてファイアウォールアプライアンスの設置後に電源を入れ直していない可能性があるなど、悲惨な状況を回避できるヒントがいくつかあります。

特に、古いファイアウォールはいつでも戻せるように準備しておいてください。古いファイアウォールは正常稼働が確認されているのですから、問題が解決するまでは手元に置いておきましょう。

また、ファイアウォールアプライアンスを複数設置できるのであれば、バックアップとして設定することも可能です。もちろん、新しいファイアウォールの設定とメンテナンス作業が最初から問題なくスムーズに進むのが一番です。

次世代ファイアウォールを導入することにより、インターネットハッカーやステルス型マルウェアへのセキュリティ対策や、従来型のステートフルなファイアウォールをしのぐパフォーマンスが達成されるなど、数々のメリットがあります。導入前には、時間をかけて綿密な計画を作成してください。業務への影響や生産性低下が発生しないように、ネットワークの中断時間を最小限に短縮することを第一に考える必要があります。

※本内容はBarracuda Product Blog 2014年11月18日Do you have a next-generation deployment plan? を翻訳したものです。