システム管理者が抱える2大課題の解決方法とは――F5ネットワークスジャパン帆士氏

いま、企業のシステム管理者はセキュリティ面で大きな2つの課題を抱えている。まず重要なのが、外部からの攻撃に対していかに社内の情報やシステムを守るか。そして、どれだけ効率的かつセキュアな環境を構築できるかである。こうした課題解決の方法について、企業のセキュリティに関して豊富な実績とノウハウを持つ、F5ネットワークスジャパンシニアソリューションマーケティングマネージャの帆士敏博氏に話を聞いた。

F5ネットワークスジャパンの帆士敏博氏が講演を行うセミナー「ネットワーク・セキュリティ・インフラの全貌」の申し込みはこちら（参加費無料、9月27日金曜日開催、東京・竹橋）

投資コストと運用工数の増加を招くファイアウォールの実情

F5ネットワークスジャパンシニアソリューションマーケティングマネージャ帆士敏博氏

外部からの攻撃は、年々増加傾向にある。しかも、その手口は巧妙さを増しており、システム管理者も頭を抱えている状態だ。対処法としては、単純に最新のセキュリティ製品を追加導入していけば済む問題ではない。現在でもファイアウォールやWebアプリケーションファイアウォール（WAF）をはじめ、DoS/DDoS攻撃対策専用アプライアンス、ロードバランサー、SSLアクセラレータなど、各種ネットワークデバイスやセキュリティデバイスを個別に導入している企業が多いが、「これでは投資コストの増加を招くと同時に、運用工数も増えてしまいます」と、帆士氏は警鐘を鳴らす。ただし、投資コストや運用工数の削減を目的に、セキュリティ製品の導入を見送るのは本末転倒。特にWAFなどはその典型で「通常のファイアウォールがあれば十分」と存在を軽視した結果、Webアプリケーションレイヤーに対する攻撃を防げていないWebサイトは意外に多いのである。

また、ファイアウォールに関してはパフォーマンス不足も気になるところ。確かに、ファイアウォール自体の導入率は非常に高いのだが、中にはアクセスの集中でダウンするようなケースも見られる。外部からのDoS/DDoS攻撃をはじめ、肝心な時に耐えられなければ導入の意味がないだろう。そしてもうひとつ、ファイアウォールではポリシーの運用管理も課題といえる。「ファイアウォールは生き物なので、サービスの追加や削除に応じてルールを変えていく必要があります。しかし、このルール変更にはかなり運用管理工数がかかるのです」と帆士氏。実際、システム管理者は「このルールは本当に消していいのか」「新ルールはほかの通信に影響があるのでは」など、変更・確認作業に多くの時間を費やしているのが現状だ。

複数システムにおける認証管理の難しさ

効率的かつセキュアな環境構築については、システム管理者ならば誰もが望むことだろう。たとえば、SSL VPNを用いて社外から安全に社内システムへアクセスしたい、社内アプリケーションに加えて各種クラウドサービスの認証をシングルサインオン（SSO）で効率化したい、といったニーズが挙げられる。「最近特に注目されているのは、スマートフォンやタブレットなどのスマートデバイスをどのように使うかですね。弊社のゲートウェイ経由で入り、Webやメールを見たり、ビジネス系のアプリケーションを使うようなパターンが多いです」と帆士氏。また、個人所有のデバイスを業務に活用する「BYOD（Bring Your Own Device）」を採用している場合、企業側で支給した端末か、個人所有の端末なのかを特定したいニーズもあるという。

SSOに関しては、社内用アプリケーションと各種クラウドサービスの個人認証を統合管理したいというのが典型的な例だ。社内システムはActive Directory（AD）で統合しているものの、クラウドサービスは別のIDとパスワードで管理されているケースは多い。この状態は、ユーザーから見れば「また別のパスワードを入れなければいけない」「忘れたらシステム管理者から問い合わせがきて面倒」など、非常に利便性が悪いもの。一方のシステム管理者も、ディレクトリ情報が分散していることで、たとえば社員が離職した際に「ADは消したがクラウドサービスを消し忘れていた」といった事態に陥ってしまう。また、買収した企業の認証基盤が異なり、買収先のアプリケーションが利用しづらいような場合も出てくる。そうした意味で、認証統合により利便性とセキュリティを高めたいのである。

システム管理者の悩みを払拭する「BIG-IP」

F5ネットワークスジャパンでは、こうしたシステム管理者が抱える課題を解決するべく、ロードバランサーを中心としたアプリケーショントラフィック管理製品「BIG-IP」を提供している。

BIG-IPの中でも、外部からの攻撃に優れた効果を発揮するのが、統合的なセキュリティ環境を実現するファイアウォール「BIG-IP Advanced Firewall Manager（AFM）」および、双方向のトラフィック監視を行うWAF「BIG-IP Application Security Manager（ASM）」だ。いずれも高いパフォーマンスと運用管理性を備え、外部からの攻撃をシャットアウト。BIG-IP AFMでは、ルール追加後の状況が事前にシミュレートできる「ステージング機能」などにより、トラブル防止と運用管理コストの削減を同時に実現してくれる。また、効率的かつセキュアな環境構築には、アクセスポリシーを集中管理できる「BIG-IP Access Policy Manager（APM）」が役に立つ。複数ドメインへの対応や、豊富なSSO認証をサポートするBIG-IP APMなら、社内システムから各種クラウドサービスまで、ニーズに応じて柔軟に認証システムの統合が可能だ。

なお、より具体的なBIG-IPの機能や活用方法を知りたい方には、9月27日に開催されるセミナー「今そこにある危機を具体的に洗い出し、対策をまとめて解説！ネットワーク・セキュリティ・インフラの全貌」をぜひお勧めしたい。当日は帆士氏も登壇し、ファイアウォールの最適化や認証管理などに関して、事例を交えながら解説する予定だ。