NRIセキュアは、広く導入されているファイアウォールは、適切な設定(Config:コンフィグ)や管理がされていない例があるとし、それによるセキュアレベルの低下を回避するために、「ファイアウォールポリシー検査」を金融機関に個別提供してきたという。
今回、セキュリティ事件・事故の増加により、この検査へのニーズが高まっているとして、「ファイアウォールポリシー検査」を正式なサービスメニューに加えたという。
「ファイアウォールポリシー検査」は、ネットワーク管理に精通したセキュリティコンサルタントが多角的な視点で実施。これにより、通常のセキュリティ診断では発見できない、設定やポリシーに潜在する脆弱性を検出することが可能だという。また、周辺のネットワークの状況から、設計時点では想定されていない侵入可能性等に関しても確認するとしている。
発表によると、「ファイアウォールポリシー検査」の主な検査項目は次のとおり。
・実設定と設定資料の差異の確認
ファイアウォール機器に設定された内容と設定資料の内容を比較し、適切に設定資料が管理されているか検査。
・ポリシー設定内容の確認
想定していないクライアントやサーバとの通信設定やプロトコル仕様に沿わない通信設定の有無、不要なポリシーの存在を確認。
・管理者設定の確認
不要なアクセス許可端末設定や過剰な管理権限設定を確認。
・監視設定の確認
監視用のサービス等から、過大な情報が露呈する可能性を確認。
■ニュースリリース
http://www.nri-secure.co.jp/whats_new/2013/0807.html
