今回はADCが備えるさまざまな機能の中でも、これまで紹介してきたものとはちょっと毛色の異なる技術を取り上げてみたい。これまで紹介してきた「負荷分散」「攻撃防止」「認証」といった機能は、どれも不特定多数のクライアントから特定のアプリケーションに対するアクセス、つまり企業システムへの「インバウンド」のアクセスに関するものだった。それに対して今回紹介する技術は、社内ネットワークに接続された特定のクライアントからインターネットに存在する不特定多数のアプリケーションに対する「アウトバウンド」のアクセスに関するものだ。

脅威が増すインターネットアクセスの現実

ビジネスにおけるインターネットの位置付けはこの数年間で大きく様変わりした。かつてインターネット活用といえば、せいぜい電子メールとWebサイトを使った情報収集程度に限定されていた。しかしここ5年ほどの間で、さまざまなクラウドサービス、SNSがコンシューマー市場で爆発的に普及し、そしてその波は今や企業ITの世界にも押し寄せている。現に多くの企業が業務システムをクラウドサービスで調達したり、あるいはコンシューマー向けサービスをそのまま業務利用したりするケースが出てきた。

こうした新たな動きは、業務の利便性を大幅に向上させる半面、企業に新たな課題を突きつけることになった。すなわち、インターネット上のサービスへの不用意なアクセスに起因する情報漏えいやマルウェア感染のリスク、また業務に関係しないインターネットアクセスの増大だ。米国の人事コンサルティング企業Salary.comの調査によれば、一般的な企業の従業員は、総労働時間の60~80%を仕事とは関係がないインターネットアクセスに費やしているという。またマルウェアに感染させる手法も、以前と比べてより手の込んだものになっている。以前であればユーザーがマルウェアに感染しているサイトへ直接アクセスしなければ感染のリスクは低かったが、最近はマルウェアに感染していないサイトにアクセスしても、感染してしまうケースが急増している。

2014年に日本で起きた事例として、観光客向けWebサイトの例を紹介しよう。まず攻撃者は、WebサイトにあったSQLインジェクションの脆弱性を突き、ページを改ざん。改ざんの内容はWebページにIFRAMEタグを使ったHTMLコードを埋め込むものだった。IFRAMEタグを使うと、HTMLファイルの中にフレームを作って、その中に別のWebサイトのHTMLファイルを表示させることができる。この仕組みを悪用し、ユーザーからアクセスがあると、ユーザーが気づかない間に脆弱性を攻撃するプログラムが仕掛けられたエクスプロイトサイトにアクセスさせる。このケースでは、エクスプロイトサイトにはIE 9の脆弱性を悪用して不正コードをインストールさせるためのプログラムが埋め込まれていた。このプログラムは、オンラインバンキングへのアクセスをクライアント端末上で監視し、IDやパスワードなどの情報を盗もうとするものだ。

このようにユーザーは他のページにアクセスしているという意識がないので、気づかないうちにマルウェアに感染してしまう。しかし、このような課題があるからといって、社内からインターネットへのアクセスを一切禁止するという選択肢は、ビジネスにおけるインターネットの依存度を鑑みるとほとんど無い。そこで重要になってくるのが、ユーザーやサービスごとにアクセス制御を行ったり、不正なプログラムをダウンロードしていないかを細かくチェックすることだ。

フォワードプロキシで望ましくないWebアクセスをシャットアウト

社内からインターネットへのWebアクセスを制御する技術のことを、一般的に「URLフィルタリング」と呼ぶ。その名の通り、サイトのURLごとに「どのユーザーのアクセスを許可/禁止するか」「どの曜日、時間帯にアクセスを許可/禁止するか」「どの端末からのアクセスを許可/禁止するか」といった細かなアクセス制御を行う技術である。

例えばFacebookやTwitterといったSNSサービスは、一般社員に対しては業務中のアクセスを禁止すべきだが、マーケティング部門では広報・販促活動の一環として、これらのサービスにアクセスする必要があるかもしれない。この場合はマーケティング部門の特定のユーザーにのみ、FacebookやTwitterへのアクセスを許可するわけだ。 こうしたURLフィルタリングの機能は「フォワードプロキシ」と呼ばれる技術によって実現される。プロキシは「代理」という意味だが、この場合はURLフィルタリングの製品・サービスが、クライアントの代理としてインターネット上のサイトやサービスにアクセスする。社内からインターネットへのアクセス要求をいったん受け取り、その内容を検証して、あらかじめ設定したアクセス制御ポリシーに合致していれば、目的のサイトやサービスに対して代理アクセスを行う。

ちなみに、前回まで紹介してきたADCの各種機能は、これとは逆に不特定多数のユーザーからのアクセスに対して、社内や公開しているWebサービスの代理人として振る舞う「リバースプロキシ」の技術がベースになっている。冒頭で述べた「これまでとは毛色が異なる」というのは、このフォワードプロキシとリバースプロキシの違いのことを指している。

URLフィルタリング製品の市場はすでに成熟しており、ある程度の規模以上の企業であれば、もう何らかの製品/サービスが導入されていることだろう。ひょっとしたら読者の中にも、業務と関係のないアダルト・ギャンブルサイトへのアクセスをフィルタリングし、ユーザーのブラウザ上に警告メッセージを表示させたり、あるいはアクセスをブロックしたという運用経験をお持ちの方がいるのではないだろうか。 こうしてユーザーに警告を発することで、業務外のインターネットアクセスを抑止する効果があるほか、管理者にとってはアクセス状況が一元的に可視化されることで、よりきめ細かなアクセス制御を行えるようになる。 また先ほど紹介した、より高度化したマルウェア感染への対策としては、ダウンロードしてくるコンテンツをリアルタイムに監視・解析することが必要になってくる。

ADCにフォワードプロキシを統合する意味

さて前置きが長くなったが、実はつい最近、ADCの代表的な製品であるBIG-IPに、このURLフィルタリングやマルウェア対策の機能が「Secure Web Gateway(SWG)」というサービスとして新たに実装された。

図1 セキュアウェブゲートウェイ(SWG)でWebアクセスセキュリティを強化

このSWGは、最新のサイバー攻撃やデータ窃取から企業を守る総合コンテンツセキュリティのグローバルリーダーであるWebsense社とのパートナーシップにより実現している。 Websense社が開発するACE(高精度分類エンジン)は、リアルタイムにWebページに含まれる悪意のあるコンテンツを解析・検出してブロックしたり、業務上は不適切なWebサイトを分類しURLフィルタリングするエンジンだ。このSWGはWebsense ACEをBIG-IPのOSであるTMOSに統合することで実現している。

Websenseの最大の特徴は、「ThreatSeeker Network」と呼ばれる世界最大の脅威分析をするための監視網を運用していることだ。ThreatSeeker Networkには9億以上のエンドポイントから収集される毎日50億以上のWebリクエストを監視しており、膨大なデータをもとに脅威分析している。また悪意のあるコンテンツと分析された情報は、クラウドから即座にユーザーの環境へフィードされ、ユーザーは常に最新の脅威情報をベースにWebアクセスで発生する脅威から保護される。

ユーザーがインターネットにアクセスする際、高機能なWebsense ACEエンジンを搭載し、ThreatSeeker Networkによる最新の脅威情報を保持したBIG-IPフォワードプロキシを経由することで、不適切なサイトへのアクセスをブロックしたり、先ほど挙げたIFRAMEのような高度化したマルウェア感染リスクを低減できる。

このことが持つインパクトは決して小さくない。というのは、先ほど解説したリバースプロキシとフォワードプロキシ、この双方の機能が1台の機器でまかなえるようになるからだ。通常であれば、負荷分散、ファイアウォール、リモートアクセスゲートウェイ、クラウドフェデレーションによるシングルサインオン、URLフィルタリングといった各種ネットワークセキュリティサービスは、それぞれ別個の製品が担うことになる。その場合、DMZ内にはさまざまな製品が混在することになり、導入コストはもちろん、運用の手間やコストも膨れ上がってしまう。その点、BIG-IPはこれらのサービスをすべて1台でまかなうことができるため、その手間やコストを大幅に削減できる。

また、社内からインターネットへのアクセス状況を極めて詳細に可視化できるのも、BIG-IP SWGの特徴だ。「いつ」「誰が」「どのサービス」にアクセスを行ったかを、既存の多くのURLフィルタリング製品よりも、かなりきめ細かにログに出力し把握できるようになっている。また標準で搭載しているレポーティング機能により、管理者はどのユーザーがどのカテゴリのURLへアクセスしているのかを簡単に把握できるようになる。

図2 追跡しやすいドリルダウン可能なレポート

さらには、前回紹介した「アクセス元デバイスのチェック機能」に長けているのも、BIG-IPの特徴だ。アウトバウンドのインターネットアクセスの監視で盲点になりがちなのが、コーポレートLANとは切り離された「ゲスト用ネットワーク」などからのアクセスだ。こうした環境からのアクセスは、通常よりも厳格な認証や端末特定を適用したいところだが、BIG-IPではアクセス元を、クライアント証明書やMACアドレス情報などをもとに正当なデバイスからのアクセスであるかどうかチェックできるのだ。

URLフィルタリング自体はすでに成熟した技術といえるが、ADCに搭載されることによって、ユーザーは上記のようなさまざまな恩恵を受けることができる。この動きは今後、ADCの主要なトレンドの1つとなることが予想されるため、ぜひ注目しておきたい。

関連記事
【連載】エキスパートに聞く ロードバランサ最前線
【レポート】138万円から購入可能なBIG-IPが新たに登場

DDoS攻撃やアプリケーションへの巧妙な攻撃に有効な《BIG-IP》

既存のファイアウォールに、大量のアクセスを安心して託せますか?
詳しくはこちら
http://www.f5networks.co.jp/solution/topics/inbound_firewall/
[PR]