フィルタリングの仕組み〜セキュリティイベントの検知〜

フィルタリングの仕組み〜セキュリティイベントの検知〜

パケットフィルタリング

パケットフィルタリングは、IPパケットごとに、条件に合致するか否かを確認し、通信を許可したり拒否したりするための仕組みです。ネットワークではIPパケットという単位でデータが送受信されていますが、IPパケットには送信するデータの他に送信元と送信先のアドレスや通信の手続きなどの情報が含まれています。パケットフィルタリングではこれらの情報に対して条件を設定し、通信の可否を制御します。

アプリケーションゲートウェイ

アプリケーションゲートウェイは、パケットレベルではなく、サービスなどのアプリケーションが扱うデータを通信路上で確認し、条件に合致する通信を許可したり拒否したりするための仕組みです。条件に用いられるのはパケットフィルタリングで用いる条件に加え、通信データ中の特定のキーワードなども挙げられます。Webアプリケーションファイアウォールやプロキシサーバーは、アプリケーションゲートウェイの実装に分類されます。

パケットフィルタリングとアプリケーションゲートウェイの用途

同じような条件で通信制御を行う場合、アプリケーションゲートウェイのほうが実現コストが高くなる、もしくは同じような価格の装置を使う場合は、パケットフィルタリングを行う装置のほうが高性能になる傾向にあります。このため、条件の合を高速に判定できるパケットフィルタリングを用いて多くの通信制御を行い、パケリトフィルタリングを通り抜けてきた通信について、アプリケーションゲートウェイ4用いて細かく制御をすることになります。

他には、ものすごく高価になりますが、次世代ファイアウォールと呼ばれる製品の中には、アプリケーションゲートウェイとパケットフィルタリングの両方を行えるものもあります。

セキュリティイベントを通知する仕組み

SOC(Security Operation Center :セキュリティオペレーションセンター)は、さまざまなセキュリティ機器を用いて、システムやネットワークなどの監対象に生する何らかのセキュリティイベントを検知した際に、検知した内容を一定の基準にソック従って取捨選択し、通知先に知らせる一連の仕組みであり、営みです。CSIRT (p.70) がセキュリティ事故の対応を行う一連の営みであるのに対して、SOCはあくまでも監視と通知が主な営みになります。ただし、場合によってはシーサートSOCがセキュリティイベントに対応します。

SOCで使用する機器や情報

SOCが目的とするのは、セキュリティイベントのタイムリーな検知であり、必に応じた通知です。このため、セキュリティイベントを検知するために必要な IDS(p.154) や、冬持ログを収集·管理して脅威の分析に役立てる SIEM(p.84) などを用いることがあります。また、セキュリティイベントを検知するために必要な情報には、ファイアウォールをはじめとするネットワーク機器やセキュリティ機器、サーバー類が出力する各種ログが必要になることもあります。アイディーエスシーム

SOCは必要か?

すでにネットワークの運用やセキュリティ機器の運用を行っており、なおかつま切にセキュリティイベントの検知と然るべき通知を行えているのであれば、無理やリSOCを構築する必然性はありません。しかし、機器があるにもかかわらず、そのような運用を行えていなかったり、か部にも委託できていなかったりするのであれば、SOCの構築をしないまでも、Cようにしてセキュリティイベントを検知していくかを考える必要はあるでしょう。そのために、機器の状態やログを確認する運用の実現を検討してみてください。

セキュリティカテゴリの最新記事