DNS に基づくマルウェアフィルタリングがセキュリティの最適解である理由
2019 年 12 月 5 日 編集部記事
次世代ファイアウォールにしても、UTM(Unified Threat Management)アプライアンスにしても、ファイアウォールの基本的な機能のひとつは、マルウェアをホスティングしているサーバにユーザが接続しないようブロックすることです。これにはさまざまな方法があって、それぞれに長所と短所があります。ウォッチガードのシニアテクニカルプロダクトマネージャ Ricardo Arroyo は、最近の Help Net Security への寄稿で、そのうちいくつかの具体的な方法と、なぜ DNS(ドメインネームシステム)に基づくフィルタリングが多くの組織にとって適切な方法なのかを説明しています。
悪意のあるサイトをブロックする際、IP アドレスに基づいて判別することも可能ですが、単一の IP アドレスは複数のサービスをホストすることもでき、また複数のドメイン名を同一の IP アドレスにマッピングすることもできます。というわけで実際には、この方法は悪意のあるサイトと同時に、正規のサイトもブロックしてしまいかねません。URL をベースにフィルタリングをすればより厳密になりますが、URL はそれぞれのアプリケーションプロトコル(たとえば HTTP や FTP)に固有のため、このフィルタリングではバックエンドのワークロードが大幅に増大します。DNS フィルタリングはこれら 2 つの方法のちょうど中間に位置する最適解で、正規のサイトを誤ってブロックしてしまうほど広範囲にならず、IT の担当者の余計な仕事を膨大に増やすこともありません。レポートの一部を抜粋して以下にご紹介します。
たとえばメールを、Outlook のようなシッククライアントで閲覧しても Gmail のような Web UI で閲覧しても、悪意のあるリンクをクリックしてしまうと、同じ名前の同じ解決にたどり着きます。ドキュメントに対しても同じことが言えます。Acrobat Reader や Microsoft Word で悪意のあるリンクをクリックすると、ドキュメントの形式やアプリケーションにかかわらず同じ名前の同じ解決にたどり着きます。つまり DNS レベルでフィルタリングをすれば、これらのどのような経路であっても、個別のアプリケーションやプロトコル別にカスタマイズする必要なく、悪意のあるリンクをブロックできます。社員が会社のデータに複数のデバイスからアクセスしたり、自分のスマートフォンを使ってメールをチェックしたり、IT 担当者が把握していないアプリケーションを使ってアクセスしたりする状況でも、DNS フィルタリングは柔軟に対応できるため、非常に有効です。
Ricardo が Help Net Security に寄稿した記事全文はこちらです。マルウェアのフィルタリング方法や、DNS フィルタリングを大きな規模のセキュリティ対策にどう適用するかについての詳細を読むことができます。ウォッチガードのマルウェアフィルタリングサービスについての詳細は こちら をご覧ください。