FortiGate のセキュリティ対策について

FortiGate は、フォーティネット(Fortinet,Inc.)が開発した統合脅威管理(UTM)アプライアンスです。次のような非常に多様な防御機能を持ち、単体で多層防御に対応します。

ステートフルインスペクションファイアウォール

ステートフルインスペクションファイアウォールは、パケットのコンテンツだけでなく、そのコンテクストや状態も考慮に入れた上でのフィルタリングを提供します。これにより、セッションの開始から終了までのトラフィックをトラッキングし、ポリシーに基づき適切にアクションを取ります。

どのように機能するのか?
  1. セッショントラッキング
    • トラフィックのフローとセッションをリアルタイムで追跡します。
  2. アクセス制御
    • 定義されたポリシーに基づき、特定のソース、宛先、サービス、またはその他の属性に対するトラフィックの許可/拒否を決定します。
  3. NAT
    • プライベート IP アドレスを公開 IP アドレスに変換します。
  4. VPN のサポート
    • セキュアなトンネルを介して遠隔地のネットワークと通信します。
対象の通信とブロックする攻撃
対象となる通信ブロックする具体的な攻撃
外部からの入力トラフィック
  • 未承認のアクセス試行
  • DoS/DDoS 攻撃
  • ポートスキャニング

内部からの出力トラフィック

  • 不正なデータの外部への転送
  • マルウェアによる C2 サーバへの通信

注意点:
パフォーマンスの低下
大量のトラフィックを処理する場合、システムのパフォーマンスに影響を及ぼす可能性があります。

暗号化トラフィックの内容ベースのルール制限
SSL/TLS インスペクションが無効の場合、暗号化トラフィックの実際の内容に基づくルールを適用することが困難となる場合があります。

アンチウィルス

アンチウィルス機能は、不正なソフトウェアやマルウェアを検出・除去するための機能です。FortiGate は、リアルタイムでのファイルスキャンやダウンロードされるコンテンツの検査を行い、ウイルスやその他のマルウェアを検出することができます。

どのように機能するのか?
  1. シグネチャベースの検出
    • 既知のマルウェアやウイルスの特徴に基づいて検出します。FortiGuard Labs が提供するデータベースと照合し、マッチするものをブロックします。
  2. ヒューリスティック解析
    • 未知のマルウェアや新しい変種を検出するために、振る舞いやコードの特性を基に分析します。
  3. サンドボックス統合
    • 疑わしいファイルを安全な環境で実行し、その振る舞いを観察します。これにより、未知の脅威も検出可能です。
対象の通信とブロックする攻撃
対象となる通信ブロックする具体的な攻撃
ダウンロードやアクセスの際のファイルスキャン
  • トロイの木馬
  • ワーム
  • アドウェア
  • スパイウェア
  • ルートキット
メール通信
  • メール添付のウィルス
  • メールリンク経由のマルウェアダウンロード

注意点:
パフォーマンスの低下
大量のトラフィックを処理する場合、システムのパフォーマンスに影響を及ぼす可能性があります。

暗号化トラフィックの内容ベースのルール制限
SSL/TLS インスペクションが無効の場合、暗号化されたトラフィック内のマルウェアやウイルスを検出できない場合があります。

E メールフィルタ

E メールフィルタ機能は、スパム、マルウェア、フィッシングなどの不正な E メールコンテンツを検出・フィルタリングするための機能です。不正なメールをブロックし、組織のセキュリティを強化します。

どのように機能するのか?
  1. シグネチャベースの検出
    • 既知のマルウェアや不正なメールの特徴に基づいて検出します。
  2. レピュテーションベースのフィルタリング
    • 送信者の信用度や既知のスパム送信者リストと照合して、メールをフィルタリングします。
  3. ヒューリスティック解析
    • メールの文言や構造を分析し、不正なコンテンツや新しいスパム手法を検出します。
  4. コンテンツフィルタリング
    • 特定の単語やフレーズ、添付ファイルの種類に基づいてメールをブロックします。
対象の通信とブロックする攻撃
対象となる通信ブロックする具体的な攻撃
受信 E メール
  • スパムメール
  • フィッシングメール
  • メール添付のウィルス
  • 不正な URL リンク
  • CEO フィッシング[1]攻撃者は組織の CEO … Continue reading
送信 E メール
  • データ漏えいの可能性がある情報
  • 感染した端末からの送信を含む悪意のあるメール

注意点:
送受信制限
特定の送信者や受信者からのメールをブロックまたは許可する機能があります。

暗号化メールトラフィックの内容検査制限
SSL/TLS インスペクションが無効の場合、SMTPS, POPS, IMAPS などの暗号化されたメールトラフィックの内容を検査できないため、特定の内容ベースのフィルタリングが機能しない場合があります。

アプリケーションコントロール

アプリケーションコントロール機能は、ネットワーク上でのアプリケーションの使用を検出、制御、そしてブロックするためのものです。この機能により、組織内で使用されるアプリケーションの可視性が向上し、セキュリティポリシーに基づくアプリケーションの使用制限が可能となります。

どのように機能するのか?
  1. アプリケーションの検出
    • ネットワークトラフィックをリアルタイムで監視し、使用されているアプリケーションを特定します。
  2. アプリケーションフィルタリング
    • 指定したアプリケーションカテゴリや特定のアプリケーションに対してアクセス制限をかけます。
  3. 帯域制御
    • 指定したアプリケーションのトラフィックに対して、帯域幅の上限や優先度を設定することができます。
対象の通信とブロックする攻撃
対象となる通信ブロックする具体的な攻撃
ソーシャルメディアの使用
  • Facebook や Twitter 等のアクセス制限
  • ソーシャルメディアを利用したデータ漏えい
クラウドストレージへのアクセス
  • Dropbox や Google Drive へのアクセス制限
  • 不正なファイルのアップロード/ダウンロード
メッセージングアプリの使用
  • WhatsApp や Line のアクセス制限
  • 不正なファイルの転送
ビデオ/音楽ストリーミング
  • YouTube や Netflix のアクセス制限
  • 帯域幅の無駄な消費

注意点:
アプリケーションの変化
アプリケーションのバージョンや特性の変化により、一部のアプリケーションの識別が難しくなる可能性があります。

暗号化トラフィックの識別制限
SSL/TLS インスペクションが無効の場合、暗号化されたトラフィック内のアプリケーションを正確に識別できない場合があります。

IDS / IPS

IDS/IPS は、不正なネットワークトラフィックや攻撃を検出・防御するシステムです。主に既知・未知の脅威に対してネットワークを保護する役割を持っています。

どのように機能するのか?
  1. シグネチャベースの検出
    • 既知の攻撃パターンやマルウェアの特徴に一致するトラフィックを検出・ブロックします。
  2. 動的脅威解析
    • 通常のトラフィックと比較して異常な振る舞いやパターンを検出します。
  3. プロトコル解析
    • トラフィックのプロトコル構造をチェックし、不正な利用や脆弱性を検出します。
  4. アプリケーション制御
    • 特定のアプリケーションの利用を制限・ブロックします。
  5. レピュテーションベースのフィルタリング
    • 悪意のある URL やドメインへのアクセスをブロックします。
対象の通信とブロックする攻撃
対象となる通信ブロックする具体的な攻撃
外部から内部への通信
  • バッファオーバーフロー
  • SQL インジェクション
  • クロスサイトスクリプティング (XSS)
  • DDoS 攻撃
  • ARP スプーフィング
内部から外部への通信
  • マルウェアからの C&C トラフィック
  • バックドアや RAT の通信
  • ゼロデイ攻撃の外部サーバへのアクセス
内部ネットワーク間の通信
  • ラテラルムーブメントの試み[2] … Continue reading
  • 内部ネットワーク間の不正な通信

注意点:
フォールスポジティブおよびフォールスネガティブ
正当なトラフィックを攻撃と誤認識することや実際の攻撃を見逃すことがあります。

暗号化トラフィックの検査制限
SSL/TLS インスペクションが無効の場合、暗号化されたトラフィックの内容を検査できないため、攻撃を検出できない場合があります。

Web フィルタ

Web フィルタ機能は、ユーザーがインターネットを利用する際の安全性を保つため、不適切や危険なウェブサイトへのアクセスをブロックするものです。オンラインの脅威から組織を保護すると同時に、ポリシーに基づいてウェブコンテンツの利用を制限します。

どのように機能するのか?
  1. カテゴリベースのフィルタリング
    • FortiGuard Labs が提供する URL カテゴリデータベースと照合して、指定されたカテゴリのサイトへのアクセスをブロックします。
  2. レピュテーションベースのフィルタリング
    • 悪意のあるウェブサイトや新しく登録された疑わしいドメインに対してアクセスを制限します。
  3. ホワイトリスト/ブラックリスト
    • 特定のウェブサイトを許可または禁止するカスタムリストを作成します。
  4. 安全な検索
    • 検索エンジンでの検索結果をフィルタリングし、成人向けや不適切なコンテンツの表示を制限します。
対象の通信とブロックする攻撃
対象となる通信ブロックする具体的な攻撃
Web サイトへのアクセス
  • マルウェア配布サイト
  • フィッシングサイト
  • 成人向けコンテンツ
  • 不正なソフトウェアダウンロードサイト
  • ギャンブルや違法な活動のサイト
Web サイトからのダウンロード
  • トラッキングクッキー
  • 悪意のあるスクリプト
  • ダウンロードファイルのウイルス検査

注意点:
URL レベルの制限
主にドメインや URL レベルでのフィルタリングを行います。

暗号化トラフィックの内容検査制限
SSL/TLS インスペクションが無効の場合、HTTPS の内容を検査することはできないため、特定の内容ベースのフィルタリングやカテゴリーベースのブロックが機能しない場合があります。

以上

参考書籍

created by Rinker
¥3,080 (2024/04/17 23:10:33時点 楽天市場調べ-詳細)

脚注

脚注
1攻撃者は組織の CEO や他の高位の経営者を偽って、組織内の従業員、特に財務や人事部門の担当者に電子メールを送信します。このメールは、緊急の銀行振込を要求するものや、従業員の個人情報を求めるものなど、さまざまな内容を持つことがあります。
2入後の攻撃のフェーズの一部であり、攻撃者がネットワーク内で横に移動することを意味します。この動きを通じて、攻撃者は機密データを盗んだり、システムをさらにコントロール下に置いたり、さらなる攻撃の足場を築くことができます。