クラウドプラットフォームやサービスが普及する現在、多くの企業では社員の働き方にマッチしたセキュリティ対策が求められています。例えば、Microsoftが提供するクラウドサービス「Azure」では、Azure FirewallとAzureネットワークセキュリティグループ(NSG)と言った、ネットワークのフィルタリングを用いたセキュリティ機能を提供しています。
セキュリティ対策における「フィルタリング」とは、一定の基準で許可と禁止を振り分ける機能であり、セキュリティ対策としてWebサイト閲覧の許可や禁止、ウィルスに感染したメールの隔離などに使われます。サイバー攻撃はもちろん、コンプライアンスや内部統制の面でも役立つ機能です。
本稿では、そもそもフィルタリングとは何か?ウォールとは何か?という基本的な概念に触れながら、AzureネットワークセキュリティグループとAzureファイアーウォールの違いについてご紹介します。
そもそもフィルタリングとは何か
コーヒーのフィルターを想像すると分かりやすいかもしれませんが、ペーパードリップ式の場合、紙のフィルターに粉を入れて上からお湯を注ぐと、粉を残したままカップにコーヒーを注ぐことができます。「粉を残すこと」「お湯を通すこと」これがフィルターの役割となります。
Webサイトアクセスにおけるフィルター機能も同様で、安全なWebサイトやコンテンツを許可し、有害なWebサイトやコンテンツの閲覧を禁止すると言った形でフィルター処理を行いセキュアなWebアクセスをサポートします。フィルター機能の延長線上で、SNSや掲示板への書き込みなどユーザーの行動を禁止すると言ったことも行われています。
インターネットによってつながれた社外と社内のネットワーク環境では、一般的にファイアーウォールという「壁」を立てることによって不正なアクセスを遮断し、内部からの情報漏えいを防ぐ仕組みが用いられていました。これがいわゆる「境界型セキュリティ」と呼ばれる従来からあったセキュリティ対策の手法の1つです。
ファイアーウォールのフィルタリングには、大きく分けてパケットフィルタリングとWebフィルタリング(URLフィルタリング)があります。それぞれの概要を解説します。
パケットフィルタリングとは
インターネットをはじめとした通信では、転送するデータをパケットという単位に分割し、最小のまとまりにして送受信を行います。パケットは「小包」の意味であり、ヘッダーと呼ばれる送信元や宛先のIPアドレスや内容のフラグと、実際のデータ部分で構成されています。
パケットのIPアドレスやMACアドレスなどの情報を取得し、あらかじめ設定した条件と照合して、通信の許可や禁止の制御を行う仕組みがパケットフィルタリングです。
しかし、パケットフィルタリング方式では、特定のポートから不正に侵入されるリスクがあります。そこで、動的パケットフィルタリングが用いられるようになりました。必要に応じてポート番号を開いたり閉じたりすることにより、セキュリティのレベルを上げる方法です。
Webフィルタリングとは
パケットフィルタリングはデータ転送時のパケットを制御は行えますが、閲覧するWebサイトを制限することはできません。そこで、インターネットで閲覧や書き込みを許可するWebサイトを制限するには「Webフィルタリング(URLフィルタリング)」を使用します。主なフィルタリングとして以下の方式があります。
ブラックリストによるフィルタリング
アクセスを禁止するWebサイトのURLを、あらかじめブラックリストとして登録します。登録したURLは一切閲覧できないため、悪質なWebサイトなどを特定して除外する場合に有効です。ユーザーとして使いやすいメリットがあります。
一方で、セキュリティの管理者は、日々増え続ける有害なWebサイトをブラックリストに追加する必要があります。自動化できない場合は、運用負荷が大きいことがデメリットです。完全なブラックリストの作成は不可能であり、常に不適切なWebサイトを追加しなければなりません。
ホワイトリストによるフィルタリング
ホワイトリストは、ブラックリストの逆の機能です。リストに登録したWebサイトだけ閲覧を許可します。したがって、リスト以外のWebサイトはすべて閲覧できないため、安全性を高めることが可能になります。
ホワイトリストを使うと、インターネット経由で職場から閲覧できるWebサイトが厳しく制限されます。そのため、日常的に様々なWebサイトから情報収集を行う業務には不適切であり、ブラックリストによるフィルタリングと同様に、リストを常に最適に保つ必要があります。
カテゴリによるフィルタリング
Webサイトをカテゴリ別に分類してフィルタリングを行います。たとえば「転職」「出会い」「SNS」などのように、Webサイトにカテゴリを登録して遮断します。登録の精度により、悪質なWebサイトを網羅しきれないことがあります。場合によっては必要なWebサイトにアクセスできない問題が生じますが、業務に合わせて例外を設定すると回避できます。
レイティングによるフィルタリング
レイティングは「格付け」の意味です。Webサイトの管理者もしくは第三者による格付けを利用してアクセスを管理します。閲覧の方針に合致しないレイティングのWebサイトのアクセスを禁止しますが、新しいWebサイトの場合は反映されないことがあります。
キーワードによるフィルタリング
Webサイトのコンテンツに含まれるNGワードやフレーズをあらかじめ設定しておき、閲覧先のコンテンツに文字列があった場合はアクセスできないようにします。画像の場合には、チェック漏れが生じる可能性があります。
境界のフィルタリングと内部のフィルタリング
ファイアーウォールの設置はセキュリティ対策の基本です。しかし、サイバー攻撃が多様化し、クラウドの活用と個人所有の端末を持ち込んで使うBYOD(Bring Your Own Device)の増加などによって、内部情報の漏えいという新たなリスクが生まれています。
このようなリスク対策を考慮して生まれた考え方が「ゼロトラスト」です。信頼性ゼロの状態を基本として、権限などを厳格に定め、機密性の高いファイルにはアクセスやコピーを禁止するフィルタリングが求められています。
ゼロトラストの考え方では、外部と内部をつなぐネットワークだけでなく、社内のネットワークのフィルタリングも重視します。この前提を理解しておくと、Azure Firewall とAzureネットワークセキュリティグループの違いが分かりやすくなります。
簡潔に言えば、Azure Firewallはインターネットによる社外と社内の仮想ネットワークの境界においてフィルタリング機能を提供し、Azureネットワークセキュリティグループは、クラウドを利用した社内のネットワーク内のフィルタリング機能を提供します。それぞれの概要をまとめます。
Azure Firewallとは
Azure Firewallは、名称の通りAzureのクラウド上のファイアーウォールとしてフィルタリングを提供する機能です。外部とクラウドの内部における境界に設置します。
Azure Firewallでは、主にサービスタグ、FQDN(Fully Qualified Domain Name:完全修飾ドメイン名)、脅威インテリジェンスを基盤としたフィルタリング処理を提供します。
サービスタグはIP アドレスのグループで、たとえば仮想マシンのOSに対してWindows Update だけを許可する使い方が可能です。このフィルタリングにより、アドレスの変更に合わせて自動的に更新が行われます。FQDNタグを使うと、任意の完全なHTTP、HTTPSなどのアクセスの許可や禁止ができます。
セキュリティとして重要な機能が、脅威インテリジェンスによるフィルタリングです。既にリスクが高いと検知された悪意のあるIPアドレスやドメインと通信があったとき、警告および遮断などを行います。
Azure Firewallは有料で提供されています。
Azureネットワークセキュリティグループとは
Azure ネットワークセキュリティグループは、サブネットと仮想マシンのNICに設置します。つまり、クラウドの内部におけるフィルタリング処理を行う機能です。
外部と内部の境界に設置するAzure Firewallに対して、設置する場所がクラウドの内部ということがAzure ネットワークセキュリティグループの大きな違いです。したがって、Azure Firewallのようなサービスタグ、FQDN、脅威インテリジェンスを基盤とした外部に対するフィルター処理はできません。
Azureネットワークセキュリティグループで可能なフィルタリングは、あくまでもクラウドの内部処理です。つまり、複数の仮想マシンを使っているときに、アクセスできる領域を制限して、コンプライアンスなどに役立てることができます。
Azure ネットワークセキュリティグループは、無償で提供されています。
まとめ
セキュリティ対策を考えるとき、フィルタリングの知識は重要です。さらに、それぞれの範囲と、どの機能で何を許可、遮断、警告ができるのか知っておくとよいでしょう。
HENNGE Oneは、クラウド時代におけるセキュリティ対策の向上と社員にとって働きやすい環境づくりを実現します。
Azure FirewallやAzure ネットワークセキュリティグループを解説しましたが、ゼロトラストネットワークの実現にはその他ID管理の考慮も欠かせません。HENNGEが提供するHENNGE OneはMicrosoft 365をはじめとするさまざまなSaaSへのIP制御、Cookie制御、端末制御、ワンタイムパスワードなど様々なアクセス制限の仕組みを提供しています。HENNGE Oneは、クラウド時代におけるセキュリティ対策の向上と社員にとって働きやすい環境づくりを実現します。ぜひ検討してみてはいかがでしょうか。
- カテゴリ:
- セキュリティ動向
- キーワード:
- セキュリティ対策