【Tufin ブログVol.4】ファイアウォールルール クリーンアップに関する5つのベストプラクティス

※本記事はTufin社の技術ブログを参考に、日本語向けに翻訳・編集しています。
原文はこちら（英語）：5 Firewall Rule Cleanup Best Practices

あなたのファイアウォールルールベースは、家の中で雑多なものを詰め込む「引き出し」のように感じるかもしれません。ネットワーク環境を拡張する過程で、従来型ファイアウォール、次世代ファイアウォール（NGFW）、SD-WAN、SASEなどからルールを集めてきたことでしょう。キッチンの引き出しに輪ゴムを追加するように、新しいファイアウォール機器やソフトウェアを導入するたびに、ネットワーク全体に新しいルールを追加してきたのです。さらに、ベンダーごとの独自の命名規則が増えることで、ルール数は増加し、ネットワークトポロジーの可視性は低下します。

その引き出しを横目で見るように、あなたは今、ファイアウォールルールベースを見て「整理しなければ」と思っているかもしれません。しかし、その作業は時間がかかり、面倒です。戦略的な重要業務に集中している間に、ルールベースは膨れ上がり、ネットワークのパフォーマンスやセキュリティに悪影響を及ぼし始めます。

自動化を活用すれば、以下の5つのベストプラクティスを実践できるため、継続的な生産性を確保しながら、デジタルの「ガラクタ引き出し」を一掃できます。

なぜファイアウォールルールベースを整理すべきなのか？

キッチンの引き出しが閉まらなくなり、人がぶつかるようになったら、片付ける時期です。同様に、乱雑なファイアウォールルールベースは、ファイアウォールの性能を低下させ、セキュリティリスクを高め、ユーザーの業務を妨げます。

パフォーマンスと効率の向上
冗長または古いルールを削除することで、トラフィック処理が効率化され、ネットワークスループットが改善され、遅延が最小化されます。

セキュリティ体制の強化
定期的なルール見直しにより、攻撃対象領域を縮小し、不正アクセスや情報漏えいのリスクを低減します。

管理の簡素化
すべてのファイアウォールベンダーのルールを標準化したビューで管理することで、重複や無効化されたルールによるリスクを軽減します。

コンプライアンスと監査対応
ルールの最適化と文書化は、NERC CIP、ISO 27001、PCI DSS、NIST 800-53、GDPRなどの規制遵守を支援します。

ルールクリーンアップの5つのベストプラクティス

ルールの簡素化
ファイアウォールルールの効率化は、冗長なルールを統合し、セキュリティを損なう可能性のある設定の混乱を減らすことから始まります。ルールを簡素化するための具体例は以下の通りです：

• • 明確で共通の命名規則を採用する
  • ルールセクションを簡潔に保つ

ルールを簡素化することで、ユーザーがどのようにリソースやネットワークセグメント間でデータをやり取りしているかを理解しやすくなります。

TufinのUnified Security Policies (USP)を活用すれば、複雑で長大なルールベースでもセキュリティポリシーを一元管理できます。USPの要件を定義すると、コンプライアンス要件に基づいてネットワークゾーン間で許可されるトラフィックをマトリックスで設定し、実際の利用状況を監視してポリシー違反を特定します。

また、TufinのUSPを利用することで、ネットワーク全体のセキュリティ体制に関する包括的な洞察を得られます。Topology Intelligenceは、インターフェース情報やルーティングテーブルを収集し、ネットワークセキュリティに関する意思決定を支援します。
これらの機能により、ネットワーク利用状況を視覚化し、セキュリティ管理を効率化できます。

ルール使用状況の分析
ルールは、キッチンの引き出しにあるアイテムのようなものです。ハサミはよく使うけれど、輪ゴムはほとんど使わない、そんな状態です。トラフィックログを確認してルール使用状況を分析することで、ネットワークやアクセスが実際にどのように利用されているかを把握できます。ネットワークの現状を理解することで、次のような項目を容易に特定できます：

• 未使用のルールやオブジェクト
• 過度に寛容なルール(Anyルール)
• シャドウルール

TufinのRule and Object Usage Reportは、各ルールやオブジェクトに対して通過またはブロックされたネットワークトラフィックをログから計算し、最も使用されているもの、使用頻度が低いもの、未使用のものに関する統計を表示します。このレポートを活用することで、次のことが可能です：

• 削除対象として検討すべきルールの特定
• 使用頻度の高いルールをルールベースの上位に移動
• 削除候補となるオブジェクトの分析

Tufinでスケジュール可能なメンテナンスタスクの例：

• データベース最適化：データベースを自動的に最適化
• ルール使用統計：トラフィックヒットがあるルールを示すデバイスログからデータ収集
• オブジェクト使用統計：トラフィックヒットがあるオブジェクトを示すデバイスログからデータ収集

   

重複・未使用オブジェクトの削除
ファイアウォール構成内の重複オブジェクトは、管理を複雑にし、設定ミスの可能性を高めます。重複オブジェクトは同じ定義を持ちながら異なる名前を使用しており、複数のファイアウォールベンダーが存在するネットワーク環境ではよくある問題です。重複オブジェクトは次のような問題を引き起こします：

• ポリシールールでの誤使用
• 設定ミスや脆弱性によるセキュリティインシデント
• 接続障害

このプロセスを効率化するために、TufinのCleanup Browserを使用して、最適化可能なポリシーやルールの詳細を確認できます。Cleanup Browserは以下の識別をサポートします：

• 重複ネットワークオブジェクト：同じIPアドレスを持つホスト、同じIPアドレスとネットマスクを持つネットワーク、同じ開始・終了アドレスを持つIPアドレス範囲
• 重複サービス：プロトコル、宛先ポート、送信元ポート、タイムアウト設定が同じ値を含むサービス

重複オブジェクトを特定した後、Tufinの自動化ワークフローを使用して次のことが可能です：

• 影響分析を実施し、サーバーやネットワークオブジェクトがすべてのファイアウォールルールでどこに使用されているかを特定
• ファイアウォールルールを変更し、サーバーやネットワークオブジェクトをすべてのルールから廃止
• すべてのファイアウォールルールから削除されたことを検証

シャドウルールの廃止
ファイアウォールはシャドウルールを処理しません。シャドウルールは、前のルールが受信トラフィックに一致するため、ファイアウォールによって実行されません。これにより、重要なメカニズムが意図せず上書きされ、セキュリティ侵害のリスクが生じます。通常の運用でこれらのルールは実行されないため、削除してもリスクは低く、ネットワークセキュリティとパフォーマンスを大幅に改善できます。

TufinのRule Viewerを使用したシャドウルールの特定
Rule Viewerを使用すると、完全にシャドウ化されたルールを簡単に特定し、以下の詳細情報を確認できます：

寛容レベル（Permissiveness）
最終更新日時（Last modification）
コンプライアンスまたはポリシー違反リスク

Rule Viewerは詳細な分析結果を提供し、Cleanup Browserを使用することで、ルールの廃止プロセスを効率化できます。すべてのクリーンアップは「名前」「重大度」「説明」で定義されているため、削除するルールを確実にレビューし、適切な判断を行うことができます。

過度に寛容なルールの厳格化
重要なアプリケーションや機密データを保護するルールに焦点を当てることで、ルールベースは必要不可欠なサービスへのアクセスを効率化し、攻撃対象領域を縮小します。しかし、一部のルールが過度に寛容である場合(Anyの利用など)、不正アクセスのリスクを生み出します。

実際のルール使用状況に関するトラフィックデータを活用し、Tufinはルールの定義範囲を特定し、その寛容なレベルを「低」「中」「高」で表示します。
セキュリティとコンプライアンス機能を効率化するために、Automatic Policy Generator（APG）は、こうした過度に寛容なルールを自動的に厳格化します。

Tufin：ファイアウォール構成の効率化と最適化を自動化

Tufinの包括したソリューションは、ファイアウォールルールのクリーンアップを継続的かつ容易に実施できるようにします。Tufinを使用することで、未使用または使用頻度の低いルールの必要性を特定・レビューし、ビジネス目標に沿ったルールとポリシーの整合性を確保できます。
さらに、APG（Automatic Policy Generator）を活用して実際のルール使用状況を把握し、すべてのネットワークデバイスで最小権限の原則を一貫して適用することで、ネットワークセキュリティとコンプライアンスを強化します。

定期的なルールクリーンアップとファイアウォール最適化を実施することで、監査コストを削減し、パフォーマンスを向上させ、サイバーリスクを軽減できます。Tufinのワークフローは、すべてのネットワーク変更がコンプライアンスに準拠していることを保証し、セキュリティポリシーの適用や例外処理を自動化・文書化します。これは、規制要件やフレームワークに対応するために不可欠です。

関連動画