Firewallのポート開放申請のその後 不要ポリシーによる穴を埋めよう
日々発生するTCPポート開放の許可ポリシー申請
ファイアウォールの目的は、「必要な通信のみを通過させ、不要な通信を遮断すること」です。
多くの組織では、利用しているITシステムに応じて、必要とされるTCPポートや接続元/接続先のIPアドレス/コンピューター名を指定した許可ポリシーを投入し、部分的な通信が行えるようにしています。
現在のビジネス変革のスピード感においては、こういった通信の許可ポリシーを必要に応じて開放するというタスクは、頻繁に発生します。そのため、ワークフローや申請書、メールベースで、日々膨大な作業をこなしている担当者も多いことでしょう。
使わなくなった不要な許可ポリシーが置き去りに
ここで注意すべきは、使わなくなったまま放置されてしまうTCPポート開放などの許可ポリシーの存在です。
ITシステムの刷新、組織構造の変革、オフィスの拠点移動などに伴い、新たなTCPポートの解放が申請される一方で、使わなくなった既存の許可ポリシーが置き去りにされるケースが多発しています。新たな通信を許可する申請は行われるものの、それらの許可ポリシーが不要になった際に無効化する作業まで、的確に実行できている組織は多くありません。
このように、許可されたままの未使用ポリシーが増えていけば、せっかく立てたファイアウォールの防壁レベルも低下します。セキュリティホールが無数に発生する事で、標的型攻撃などのセキュリティインシデントの発生源にもなり得ます。
ManageEngine Firewall Analyzerの「未使用ルールビュー」で解決
Firewall Analyzerを利用する事で、「数ヶ月間通信が発生していない」といった未使用ポリシーを積極的に検出し、レポートに出力する事が可能です。管理者は、このレポートを見る事で不要な許可ポリシーやオブジェクトの棚卸作業を簡単に実行できます。
なお、「未使用ルールビュー」機能は、Juniper SSG/SRX、FortiGate、Cisco ASA & Cisco Pix、PaloAltoの機器に対応しています。
詳細は「Firewall未使用ポリシーレポートについて」をご参照ください。