目次 概要...3 はじめに...3 ファイアウォールの計画と設計のプロセス...3 ステップ 1: 組織のセキュリティー要件を特定する...3 ステップ 2: 総合的なセキュリティーポリシーを定義する...4 ステップ 3: ファイアウォールの基本概念を定義する...4 ステップ 4: 許可する通

Transcription

1 WHITE PAPER ファイアウォールの計画と設計の 5 つの手順

2 目次 概要...3 はじめに...3 ファイアウォールの計画と設計のプロセス...3 ステップ 1: 組織のセキュリティー要件を特定する...3 ステップ 2: 総合的なセキュリティーポリシーを定義する...4 ステップ 3: ファイアウォールの基本概念を定義する...4 ステップ 4: 許可する通信を特定する...5 ステップ 5: ファイアウォールのポリシー適用ポイントを特定する...6 まとめ...6 ジュニパーネットワークスについて...7 2

3 概要 当ホワイトペーパーで提供するガイドラインは 効果的なファイアウォール導入の基盤となるセキュリティーポリシーを作成する上で 組織が参考にすべきベストプラクティスの一部を構成します このガイドラインは ジュニパーネットワークスが提供するドキュメント ファイアウォールの設計について を要約したものです ファイアウォールの設計について の PDF は 以下の URL から入手可能です juniper.net/techpubs/en_us/learn-about/la_firewalldesign.pdf はじめに ファイアウォールの計画と設計のプロセス みなさんご存じのように ファイアウォールの設計には ファイアウォールの設定だけでなく はるかに多くの要素が必要になります 組織の総合的なセキュリティーポリシーを構成するプロセスによって 使用するファイアウォールの機能 ファイアウォールの適用場所 最終的なファイアウォールの設定方法などが決まります ファイアウォールテクノロジは パケットフィルターファイアウォールから今日の次世代型ファイアウォールへと進化してきました その各段階で 複雑さを増すサイバースペースに対応し リソースを保護し 不正な目的でファイアウォール攻略を目指すサイバー攻撃者の試みを阻止するための新しいサービスとソリューションが現れました 今日の最先端のファイアウォールには ファイアウォールの進化の各段階で生まれた幅広い機能とサービスが含まれます ファイアウォール設計には 5 つのタスクがあります これは ユーザー環境の異なる領域に対して 機能を限定した単一のファイアウォールの導入を計画する場合と 全機能を装備した複数のファイアウォールの導入を計画する場合のいずれにおいても必要になります 1. 組織のセキュリティー要件を特定する 2. 総合的なセキュリティーポリシーを定義する 3. ファイアウォールの基本概念を定義する 4. 許可する通信を特定する 5. ファイアウォールのポリシー適用ポイントを特定する 図 1: 最適なファイアウォール設計のための 5 ステップのベストプラクティス ステップ 1: 組織のセキュリティー要件を特定する ネットワーク環境のセキュリティーを保護するには 組織のリソースやセキュリティー要件 現在のセキュリティーに対する姿勢を把握する必要があります この評価の実施方法について ここにいくつかの案を示します 保護が必要な対象を特定するための 棚卸し を実施します 環境の資産とリソースの一覧を作成します 次がその例です 環境とネットワークを構成するハードウェアとソフトウェアなど キャンパスに導入されているリソースを特定します リソースを分類します 例えば 公開可能なデータベースと顧客対応システム 機密データが集中的に存在するリソース 旧式のセキュリ ティーデバイスなどを特定します データを特定します そのデータの取り扱いと保護の方法を指定します リソースに定量値を割り当てます データの機密度と使用者を検 討します トランザクションフローを特定します データは移動の際に最もリスクにさらされます 各リソースに関する脆弱性または潜在的脅威に着目します IT 部門が使用するシステムを特定します IT 部門のセキュリティーが破られ た場合 全体のネットワークが使用できなくなる可能性があります インターネットのアドレス範囲を調べます パートナーとゲストがアクセスするネットワークを特定します 立場を変えてみます 使用環境を サイバー攻撃者の立場から眺めてみます 使用するオペレーティングシステムとアプリケーションが最新のパッチを用いて更新されていることを確認します サードパーティグループによる脆弱性評価を行います このグループによって ネットワークの重大な脆弱性が特定される可能性もあります 3

4 ステップ 2: 総合的なセキュリティーポリシーを定義する企業は その規模に関わらず 資産を安全に保護する前に 以下の要件を満たす効果的なセキュリティーポリシーを準備する必要があります すべてのネットワークリソースと必要なセキュリティー要件を特定します トポロジーにおいてシステムが追加または削除された場合に改訂されるネットワークインフラストラクチャマップを含めます 組織のファイアウオールの基本概念を網羅します 許可される通信とアクセスポリシーを網羅し 従業員の職務と役割に基づいたアクセス権とアクセスレベルを定義します セキュリティーに関する組織の文化と セキュリティーポリシーがどのように適用されるかを定義します セキュリティーの脅威 脅威を阻止する方法 攻撃されてしまった場合の対応方法を定義します 明確に文書化されたセキュリティーポリシーは ファイアウォールの保守と管理においてネットワーク管理者の指針になります 表 1 は 独自のセキュリティーポリシーを定義する際に使用できる セキュリティーポリシーに関するベストプラクティスをまとめたものです 表 1. キュリティーポリシーの定義プロセス タスク 環境を定義します 手順 保護すべきサービスとシステムを特定します 保護対象を決定しないままで 堅固なファイアウォールを導入することは不可能です リソース ネットワークに必要不可欠なシステム 強力な防御戦術が必要なその他のシステムを特定します 主な脅威をわかりやすい言葉で示し セキュリティーが破られた場合にとるべきアクションを定義します 以下の情報を特定するネットワーク図とマップを作成します 環境内のすべてのホストの場所と ホストで稼働するオペレーティングシステム ブリッジ ルーター スイッチなどその他のデバイスのタイプと場所 ターミナルサーバーとリモート接続のタイプと場所 すべてのネットワークサーバーについての説明と場所 ( オペレーティングシステム インストール済みのアプリケーションソフトウェア ( バージョン番号を含む ) 設定情報など ) 使用されているすべてのネットワーク管理システムの場所と説明 システムに対する脅威を定義します 攻撃が特定され 解決された後に管理者がとるアクションを定義します 次がその例です 攻撃者の特定を試みるかどうか 試みる場合 どのようなソフトウェアまたはその他の方法を使用するか 起訴を計画するかどうか 管理者は ISP に連絡し 攻撃を報告するかどうか ステップ 3: ファイアウォールの基本概念を定義する ファイアウォールの基本概念は ファイアウォールに厳密に適用される サイトのセキュリティーポリシーの一部であり ファイアウォールが目指す全体の目標を定義します これは すべての管理者がファイアウォールを導入する際に従うべき 書面によるガイドラインになります リソース アプリケーション サービスをどのように保護するべきかを特定することで ファイアウォール自体の定義と設定がはるかに容易になります ファイアウォールの基本概念は ネットワークに新しいホストやソフトウェアを追加する際にも重要な存在になります これは 現在のファイアウォールの導入と 導入に影響した要因を 歴代の IT スタッフに継承する手段として機能します 単純なファイアウォールであっても 設計 導入 保守する際のガイドになる 明確に文書化されたファイアウォールの基本概念が必要になります ファイアウォールの基本概念がない場合 ファイアウォールそれ自体がセキュリティー上の問題になる可能性さえあります 表 2 は ファイアウォールの基本概念の確認文書に含められるコンポーネントの例をいくつか示したものです 4

5 表 2. ファイアウォールの基本概念のガイドライン タスク ファイアウォールの導入の目的を特定します ファイアウォールの管理および更新方法を指定します ネットワークのセキュリティー脆弱性を特定し 修正します ファイアウォールを本番導入する前に ネットワークの完全性をテストします ステップ 主要な目標を定義します 組織外から受ける脅威から保護するためか 内部の攻撃から保護するためか ユーザーのアクティビティを監視するためか ネットワーク使用量の制御管理など セキュリティーには関係ない用途に関するものか 完全性 機密性 可用性の点から目標を定義します 管理容易性と複雑性を対比し 要件を定義します 使用するサブネットワークを特定します ネットワークアドレス変換 (NAT) の使用予定の有無を指定します この情報は ファイアウォールの基本概念の文書に記録し 履歴として残します 攻撃の構成要素を定義します 情報収集 ( 偵察ミッション ) を攻撃とみなすかどうか あるいは物理的な損害を与えるインシデントのみを攻撃とみなすかなどを定義します ファイアウォールを導入する前に ネットワークをテストして ネットワークが攻略されておらず ウィルスに感染していないことを確認します 最小権限または最大権限についての総合的なアプローチやセキュリティーのスタンスを確立し ネットワーク要件に応じてファイアウォールの基本概念を展開する際の指針とすることができます 最小権限 ネットワークをロックダウンします LAN 内とインターネットに関連する両方向のすべてのネットワーク接続をブロックします インターゾーンとイントラゾーンのすべてのトラフィックをブロックした後に ポリシー設定を介して選択的にブロックを解除できます こうして ポリシー設定では正確かつ段階的に許可対象を定義できます 最小権限は ファイアウォールの導入において一般的なアプローチです 最大権限 ネットワーク内のすべてを信頼します その後 ポリシーによって 必要に応じて特定のアクセスの拒否を指定し アクセスを閉じることができます このアプローチは ネットワークアクティビティの続行中にファイアウォールをインラインで導入する場合に しばしば用いられます 最大権限アプローチを採用する場合 ネットワークを使用して行われる通常の業務を妨げることなく ファイアウォールを導入できます ステップ 4: 許可する通信を特定する LAN 上での使用が許可されるネットワークアクティビティのタイプ インターネットサービスとアプリケーションでの使用が許可されるネットワークアクティビティのタイプを指定する利用規定を定義します 効果的なファイアウォールポリシーを設計するには 現在使われているアプリケーションを把握する必要があります ネットワーク管理者は 特にインターネットの使用に関して そのすべてを認識しているとは限りません 従業員は ソーシャルメディアやインスタントメッセージのアプリケーションがネットワークへのエントリポイントを開き 攻撃者のアクセスが容易になることを認識していない可能性もあります 許可されるアプリケーションとサービス それらに関連するすべての既知のセキュリティーリスク アプリケーションやサービスのセキュリティーの保護手段のリストを管理することは ベストプラクティスの一つです 従業員の役割と それぞれの役割で許可されるアプリケーションに基づいて 組織のワークフローを理解し 文書化します 収集したこれらの情報は ファイアウォールの定義に役立ちます 自分で動き回る作業がほとんど終わったら その後のファイアウォールの設定は 単なるソフトウェアの設定タスクになります 許可される通信とアクセス許可を定義する際には それらの要件を適用するために導入を計画するファイアウォールのタイプを考慮に入れます レイヤー 3( ネットワーク層 ) まで稼働するパケットフィルタリングファイアウォールと レイヤー 4( トランスポート層 ) まで稼働するステートフルファイアウォールは 固有の目的を継続的に果たしますが Web ベースの攻撃からの防御に必要な適切なネットワーク保護にはなりません Web ベースの攻撃は ウェルノウンポート すなわち HTTP( ポート 80) HTTPS( ポート 443) 電子メール ( ポート 25) をたやすく通り抜けます プロトコルとポートに基づくパケットフィルタリングファイアウォールとステートフルファイアウォールは プロトコルとポートに依存する正当なアプリケーションと 不正なアプリケーションや攻撃とを区別できません そのポートを使用するある種の Web トラフィックと 他のトラフィックとを区別できないのです 5

6 アプリケーションファイアウォールが登場したため IT チームはアプリケーションへのアクセスを細かく制御できるようになりました アプリケーションファイアウォールは アプリケーションとプロトコルを 関連するパケットとそのパケットが使用したポートを使って検査します アプリケーションファイアウォールは アプリケーショントラフィックやシステムサービスコールを監視 ブロックしたり それまで広範囲で使用できていたサービスとアプリケーションへのアクセスを制御できます 許可されるサービスとアプリケーション ユーザーのアクセスワークフローを定義した後は 従業員が利用できる方法でこれらの情報を伝えることが重要です ステップ 5: ファイアウォールのポリシー適用ポイントを特定する すべてのネットワークには 独自の特徴があり ファイアウォールの導入ソリューションについても独自のものが必要です 多くの企業は 保護すべき資産とアクセスポイントに基づいて 環境全体で異なるタイプのファイアウォールを導入します ファイアウォールがどこに適用されるかに関係なく ファイアウォールの設計が単純であれば 複雑なものより安全で管理が容易になる傾向があります 要件が特殊な場合にはファイアウォールも複雑になることがありますが 不必要に複雑な設計は それ自体が設定エラーにつながります ポリシー適用ポイントの決定は ファイアウォールの設計の基本です 原則的に ファイアウォールの主な使用は ポリシー適用ポイントと設定を定義するためとします ファイアウォールは一般にエッジ またはプライベート LAN とインターネットなどのパブリックネットワークとの境界に導入されます しかし DMZ( 境界または踏み台ネットワークとしても知られている ) など その他のファイアウォールのポリシー適用ポイントについても考慮する必要があります ネットワークのこれらの領域では ファイアウォールの設計と適用は異なります その理由は 表 3 で詳しく説明するように 特有のセキュリティー要件があるためです 表 3: ネットワーク領域とファイアウォールのポリシー適用ポイント エッジ : インターネットに接するファイアウォール インターネットからの不正アクセスからネットワークの境界を保護します LAN の外部からのすべての形式の攻撃から ホストを防御します 認証済みユーザーは LAN の外部から起動されたサービス拒否 (DoS) 攻撃とその他の形式のロックアウト攻撃を阻止して 必要なタスクを実行することができます LAN へのエントリポイントは 各パケットをチェックして通過を許可するかどうかを判定することで ガードします コア : 企業に接するファイアウォール 企業のリソースを ウィルスによるデータの盗難や DoS 攻撃など 内部の短絡的攻撃 偶発的攻撃 あるいは悪意のある攻撃から保護します 出力トラフィックの処理ポリシーを提供します 従業員が必要なインターネットサービスのみにアクセスできるようにします 従業員がネットワークの使用で外部攻撃を引き起こさないように保護します DMZ のファイアウォール 背後に内部 LAN のホストが安全に存在できる防御の最前線を設定するために プライベートネットワークの前面に安全性の低い領域を作成して セキュリティーを高めます 原則的に 公的にアクセス可能なサーバーと防御ホストが含まれます サーバーが攻撃された場合でも LAN 内のホストの安全は確保されます まとめ 組織にとって効果的なファイアウォールを導入するには 幅広いセキュリティー上の懸念や評価を考慮し セキュリティーポリシーとファイアウォールの基本概念を導入する必要があります これらの計画やプロセスが使用環境に必要なセキュリティーを提供します この結果は 導入すべきファイアウォールの数 タイプ ポリシー適用ポイントに関する決定に影響を与えます 本資料で示した標準的な承認プラクティスに従うことで このタスクをより容易に実行できます 要約すると以下のとおりです 保護すべき環境上のリソースやネットワークを識別するため 棚卸し を実施します 各リソースの一覧を作成し 特徴を明確にし リソースに定量値と重要度を割り当てます ネットワーク機器 公開可能な顧客対応サーバー 内部サーバー その他すべての機器やデータストレージを識別します 機密データが集中的に存在するデバイスや旧式のデバイス IT 部門が使用するデバイスに着目します 移動時のデータを安全に保護するため トランザクションを文書化します 棚卸評価やネットワーク図とマップを含めたセキュリティーポリシー文書を作成します 最初はインフラストラクチャをマッピングする動的ネットワークトポロジーアプリケーションを使用し マシンを追加したりデータを入力した場合 自動的にマップを更新するようにします システムに対する脅威と ファイアウォールを管理 維持する管理者がその脅威に対してどのように対応するかを定義します 6.

7 セキュリティーポリシーに ファイアウォールのみに適用されるファイアウォールの基本概念の文書を含めます 将来を含め 管理者はこの文書を指示書として活用することになります ファイアウォールのセキュリティーに関する以下の目標を確認してください そのファイアウォールは外部攻撃から保護するものか 内部攻撃から保護するものか ネットワーク使用量の制御管理のために使用するのか 複数のタイプのファイアウォールが必要か 許可される通信やプログラムのアクセス権限を識別する利用規定を定義します 組織のワークフローを考慮し 役割や個人に対して権限を割り当てます 使用環境に強力で効果的なセキュリティーを導入する際 これらの基本的なプロセスに従ってください これらのガイドラインおよびその他の重要なネットワークに関するトピックの詳細については こちらをご覧ください index.html ジュニパーネットワークスについて ジュニパーネットワークスは ネットワークのイノベーションに取り組んでいます デバイスからデータセンターまで そしてコンシューマからクラウドプロバイダにいたるまで ジュニパーネットワークスは ネットワークのエクスペリエンスや経済性を変革するソフトウェア シリコン システムを提供しています ジュニパーネットワークスは 世界中のお客様とパートナー企業のために尽力しています 詳細については www. juniper.net/jp/ をご覧ください 米国本社 Juniper Networks, Inc Innovation Way Sunnyvale, CA USA アジアパシフィック ヨーロッパ 中東 アフリカ Juniper Networks International B.V. Boeing Avenue PZ Schiphol-Rijk ジュニパーネットワークスのソリューションの購入については にお電話いただくか 認定リセラーにお問い合わせください 電話 :888.JUNIPER( ) また は Fax: Amsterdam, The Netherlands 電話 : Fax: Copyright 2014 Juniper Networks, Inc. All rights reserved. Juniper Networks Juniper Networks ロゴ Junos QFabric は 米国およびその他の国における Juniper Networks, Inc. の登録商標です その他すべての商標 サービスマーク 登録商標 登録サービスマークは 各所有者に所有権があります ジュニパーネットワークスは 本資料の記載内容に誤りがあった場合 一切責任を負いません ジュニパーネットワークスは 本発行物を予告なく変更 修正 転載 または改訂する権利を有します JP 2014 年 11 月 7