【インタビュー】セキュリティ入口対策の再構築、アプリケーションレイヤからセキュリティに取り組むF5

　「アンチウイルスソフトは死んだ」と主張するセキュリティベンダが存在するように、昨今のセキュリティ対策は高度化する攻撃手法と、仮想化環境やクラウドプラットフォームなど、新しいコンピューティングスタイルへの対応が迫られている。

　そのひとつに侵入前提で考える防御としての出口対策がある。多重認証、ログ解析、ふるまい検知、サンドボックス/エミュレーターなどが代表的なテクノロジーである。

　この背景にはアンチウイルスソフトやファイアウォールなど入口対策の限界があるとされている。しかし、その一方でWebアプリケーションファイアウォールや次世代ファイアウォール、さらに包括的な防御としてUTM（Unified Threat Management）といったソリューションも注目されている。出口対策をすれば入口対策をないがしろにしていいほど攻撃者の手はぬるくない。

　そんな中、一般的なセキュリティベンダとは異なるテクノロジーを持つポジションから、入口対策に取り組む企業がF5ネットワークスだ。F5というと多くの読者はロードバランサーを思い浮かべるだろう。平均的なロードバランサーでも、SYNfloodのようなネットワークベースのシンプル攻撃なら吸収できるが、同社のソリューションはセキュリティ対策「にも」なります、というような売り手の都合だけのものではない。それは、同社のテクノロジーの成り立ちからすると、セキュリティは、むしろ現在のインフラ環境の変化に対応する自然なソリューションだという。

　「L2、L3スイッチなどのネットワーク機器を扱うベンダは基本的には、“つながるため”の機能にフォーカスしています。しかし、当社はつながった後のことを重点に考えたソリューションを展開しています。ユーザがデータやアプリをどのように活用したいのか、サービスをどのように使っていくのか、といった視点です。考え方の基本は、アプリケーションをいかに安定して、速く動かし、ユーザの利便性を上げられるかにあります。その延長線上でL4からL7の処理を対象としたロードバランサー、WAF、VPN、FW、シングルサインオンといった技術を展開しています」（F5ネットワークスジャパン株式会社帆士敏博氏）

サービスやシステムの可用性を語る場合、信頼性や安全性、堅牢性と切り離して議論することはできないだろう。また、可用性はシステムの機密性、完全性とともに重要とされる三大要素でもある。帆士氏は、このようにネットワーク機器ベンダがセキュリティにかかわる必然性を説明する。そして、この動きを後押しするもうひとつの業界動向もあるという。それは仮想化に始まるクラウドコンピューティングによる企業システムや業務プロセスの変化だ。

「サーバーの仮想化に始まり、ストレージやネットワークといったインフラの仮想化や抽象化が進んでいます。並行してモバイルデバイスやパブリッククラウドが企業ITシステムの基盤として浸透しつつあります。これらの動きは、アプリケーションのホスティング環境に変化をもたらし、サーバー、ストレージ、ネットワークのようなインフラは、もはや自分で一から作るものではなく、クラウドから切り出して好きなように使うという時代といえます。

　このような現状を踏まえて企業のセキュリティを考えると、VDI（仮想化されたデスクトップ）のエンドポイントはどう特定するか、ユーザの本人確認をどう厳格に行うか、など新しい課題が増えているといえるでしょう。また、DC内のセキュリティデバイスが増えすぎたことで、デバイスごとに複数レイヤのチェックが必要になる点や、これに伴うオーバーヘッドの増加も問題です」（帆士氏）

　そのうえで帆士氏は、アプリケーションの利用・運用形態が変化しているのに、防御形態が従来のままでは不十分ではないか、とも言う。

　「一般的なファイアウォール製品は、スイッチベースのものが多く概ねL4までのパケット処理を行っています。これらの製品はアプリケーションをどう活用すべきなのか、つまり誰が・どのアプリケーションを、どこから使うのかというコンテキストの分析ができません。

　これらの分析を行うには、L4からL7、アプリケーションレイヤの動作をチェックする必要があります。当社の主要製品であるBIG-IPは、目的がアプリケーションの可用性や信頼性を向上させることにあるため、アプリケーションの詳細な状態を把握できます。

　なぜそのようなアプリケーションレイヤの管理や制御が可能かというと、BIG-IPシリーズにはTMOSという独自開発のOSがプラットフォームとしてあるからです。ロードバランサーやWAFといった機能はTMOSプラットフォーム上に構築されます。

　そして、TMOSにはiRulesというTclベースのプログラミング言語があり、任意の制御アルゴリズムや機能設定をカスタマイズすることもできます。TMOSとiRulesによって、一般的なWAFのような機能だけでなく、特定の攻撃パターンの検出や、特定URLだけに対する制御や防御までが可能になっています」（帆士氏）

　アプリケーションを深いレベルで管理できるという点で、UTMや次世代ファイアウォールとの違いはどうだろうか。

　「UTMや次世代ファイアウォールはもともとネットワークファイアウォールのアーキテクチャをベースとしています。そこにIDS/IPS、URLフィルタリング、ウイルス対策、アプリケーション可視化などのゲートウェイとして必要な機能を統合したものです。

　ただし、アプリケーションレベルでの処理プロセスは、あくまでL4までのヘッダ処理を実施後、そのデータペイロードを抽出し、シグネチャマッチング等による更に深い解析を加えて処理をするアーキテクチャとなっています。原理的にはアプリケーションレベルの動作をチェックすることができますが、アプリケーションのセッションやHTTPやDNS等のメッセージそのものを解析している訳ではありません。

　それに対して、TMOSはアプリケーションレイヤの処理をする専用OSとして開発されており、HTTPやDNS等のメッセージそのものを解析するアーキテクチャとなっています。たとえば、HTTPのセッション管理にCookieが利用されていた場合、そのセッションを識別して管理することが可能です。これにより、一連の通信は誰の操作なのかといった事がわかります。

　例えば、パスワードリストなどによる攻撃で送信元のIPアドレスを変えてくるもの、NAT越しの攻撃を受けた場合でも、IPアドレスのフィルタリングに頼ることなく、Cookieをベースとしたセッションベースで攻撃を防御することができます。解析は双方向なので一定の出口対策も可能ともいえますが、強調したいのはiRulesを活用することによって運用変更への対応、新しいタイプの攻撃への対応(カスタマイズ)がユーザ側でできる点です。業務要件ごとの細かいチューニングが可能です」

　企業におけるITインフラと情報セキュリティの概念はますます連動する必要性が増しており、ネットワークを含む仮想化やクラウド化が進む現状において、物理的なセグメントや境界ごとにセキュリティボックスのような機器を設置することが難しくなってきている。さらに、モバイルデバイスの増加は、エンドポイントでの管理コストを増大させている。

　このような現状に対して、ネットワークの境界上にアプリケーションを誰が、どのような場所から、どんなデバイスで使うのかというコンテキストを理解できるセキュリティ機能を集約するゲートウェイを設置するというアプローチは有効かもしれない。