次世代ファイアウォールでマルウェア感染を防止

マルウェア感染の原因はアプリケーションの脆弱性

通常、単にウェブサイトを閲覧しただけではマルウェアに感染することはありません。
しかし、ウェブアクセスで使用するアプリケーションのなかには、プログラム上の欠陥、すなわちセキュリティホールと呼ばれる脆弱性をもっているものがあります。
マルウェア感染を企てる首謀者は、この脆弱性を悪用して、特殊な細工をしたウェブサイトに誘導して悪意のあるプログラムをコンピューターに取り込ませようとします。
例えば、言葉巧みに悪意のあるサイトへアクセスを促すメールを送りつけ、それをうのみにした社員が指示に従うと、気がつかぬままマルウェアに感染してしまうといった具合です。

企業内で使用しているアプリケーションの統制は困難

ウェブサイト経由でのマルウェア感染を防ぐには、社内で使っているブラウザのアプリケーションを常に更新して脆弱性をなくしていかなければなりません。とはいえ、企業内で使用しているアプリケーションをすべて脆弱性のない状態に維持するのは困難です。

社内では何十台はもとより、規模の大きいところでは何百台ものコンピューターがインターネットに接続して業務を行っているでしょう。それらのなかには、セキュリティ対策が不十分なまま使用されている場合もあります。
特に、コンピューターが故障して古い機器を代替に使うと、脆弱性をなくすために行うソフトウェアの更新作業がおろそかになりがちです。

また、部署によってはウェブアクセス用にさまざまなアプリケーションを使用しています。そのうち、どれが脆弱性をもっているのか、セキュリティ担当部署も把握しきれません。

こうした現状をふまえると、セキュリティ担当者が社内のコンピューターの使用状況を把握しながら、マルウェアの感染を防ぐのは難しいといえます。

次世代ファイアウォールで脆弱性のあるアプリケーションを制御

社内のコンピューターにマルウェアを感染させないようにするためには、インターネットに接続しているコンピューターへの対策を推し進めるだけではなく、社内のネットワークにも対策を講じる必要があります。

有効な対策として挙げられるのは、ゲートウェイにファイアウォールを施して、社内から外部へのインターネット接続を制御する方法です。
しかし、従来のファイアウォールでは、機能ごとに定められたポート番号を指定して接続制限をかけることしかできません。
もし、ウェブアクセス用のポートを制限してしまうと、社内にあるすべてのコンピューターは外部のウェブサイトにアクセスできなくなってしまいます。
これでは、社内業務に支障をきたすだけで本末転倒です。

この問題を解決するのが、次世代ファイアウォールです。
次世代ファイアウォールは、ポート番号ではなくアプリケーションを指定して外部へのインターネット接続を制御できるのです。

次世代ファイアウォールをゲートウェイに導入すれば、社内から外部へのウェブアクセスは特定のアプリケーションのみに制限することができます。
これにより、脆弱性のあるアプリケーションを使ったウェブアクセスは遮断でき、マルウェアの感染防止につながります。
外部へのウェブアクセスを許可するアプリケーションの設定はルーターを管理するセキュリティ担当部署で行えるので、社内で外部アクセスに使用できるアプリケーションを一括管理できるのも大きなメリットです。

企業のセキュリティ事故が多発している現在、次世代ファイアウォールは、事故の発端となるマルウェア感染を防ぐ大きな戦力となるでしょう。

【参照】

次世代ファイアウォールとは何か？--第3回：ファイアウォールの停滞と進化

ファイアウォール