WEBVTT

00:00.660 --> 00:05.280
インストラクター：ルーターはアクセス・コントロール・リストを使ってネットワークの保護フィルタリングを行うことができますが､

00:05.280 --> 00:10.680
アクセス・コントロール・リストの使用に優れているのは､ 実際にはファイアウォールと呼ばれる専用デバイスです｡

00:10.680 --> 00:16.440
さて､ アクセス・コントロール・リストは､ 不要なトラフィックからネットワークを保護するために非常に重要である｡

00:16.440 --> 00:17.820
ACLで利用する許可と拒否の文の大部分は､

00:17.820 --> 00:27.540
ポート番号に基づいている｡ なぜなら､ ポート番号は許可またはブロックしたいアプリケーションやサービスに直接関連しているからだ｡

00:27.540 --> 00:30.270
アクセス・コントロール・リスト（ACL）は､ ファイアウォール､

00:30.270 --> 00:32.400
ルーター､ その他のネットワーク・インフラストラクチャー・デバイスに設定されるルール・セットで､

00:32.400 --> 00:37.380
特定のインターフェイスを介したトラフィックを許可または許容する｡

00:37.380 --> 00:41.610
これらのルールセットは､ ネットワークへのトラフィックの流入と流出を制御する｡

00:41.610 --> 00:44.490
さて､ ファイアウォールのアクセスコントロールリストを設定するには､

00:44.490 --> 00:49.140
ウェブベースのインターフェースか､ テキストベースのコマンドラインインターフェースを使うことになる｡

00:49.140 --> 00:50.760
これらのACLを設定するときに重要なことは､

00:50.760 --> 00:57.780
ACLをリストする順番が､ 特定のトラフィックに対して実行されるアクションの順番を指定することを覚えておくことである｡

00:57.780 --> 01:02.280
アクションは常にアクセス・コントロール・リストのトップダウンで実行される｡

01:02.280 --> 01:04.320
トラフィックは最初のルールと比較され､

01:04.320 --> 01:10.470
適用するアクションの条件にマッチすれば実行され､ 他のACLはチェックされない｡

01:10.470 --> 01:14.820
このため､ 最も具体的なルールは常にリストの一番上に配置し､

01:14.820 --> 01:17.730
より一般的なルールは一番下に配置する｡

01:17.730 --> 01:22.530
現在､ ルーターはこれらのアクセス制御リストとフィルタリングルールを使って基本的なセキュリティを提供することができる｡

01:22.530 --> 01:24.870
しかし､ ネットワーク・ファイアウォールこそ､

01:24.870 --> 01:29.670
ネットワーク・セキュリティや一括ブロック・許可に最もよく使われるものなのだ｡

01:29.670 --> 01:31.890
ファイアウォールは､ ハードウェアベースのアプライアンスであったり､

01:31.890 --> 01:36.540
クライアントやサーバーにインストールされる専用のソフトウェアであったりする｡

01:36.540 --> 01:40.590
ファイアウォールの主な役割は､ ネットワークの境界に出入りしようとするトラフィックを検査し､

01:40.590 --> 01:42.450
制御することである｡

01:42.450 --> 01:44.340
ファイアウォールには､ パケットフィルタリング､

01:44.340 --> 01:47.430
ステートフル､ プロキシ､ ダイナミックパケットフィルタリング､

01:47.430 --> 01:51.180
カーネルプロキシなど､ さまざまな種類があります｡

01:51.180 --> 01:56.370
各タイプのファイアウォールは､ トラフィックの徹底的な検査に重点を置いている｡

01:56.370 --> 01:58.890
ネットワーク・セキュリティのすべてと同じように､

01:58.890 --> 02:02.700
どの程度深く検査するかによって､ パフォーマンスのトレードオフが生じる｡

02:02.700 --> 02:07.470
ファイアウォールがより詳細な検査を行う場合､

02:07.470 --> 02:12.990
デバイスは高いスループットを達成することができる｡

02:12.990 --> 02:17.400
これはネットワークの効率に悪影響を及ぼし､ ネットワークの待ち時間を増加させる可能性がある｡

02:17.400 --> 02:20.370
現在､ ファイアウォールは私たちのネットワークにとって不可欠なセキュリティ・デバイスであるため､

02:20.370 --> 02:25.620
より良い機能とより高いセキュリティを提供するために常に進化し続けている｡

02:25.620 --> 02:32.400
多くの組織が統合脅威管理ファイアウォール（UTM）に移行していることは重要だ｡

02:32.400 --> 02:39.420
統合脅威管理デバイスは､ 単一のデバイスまたはネットワーク・アプライアンス内で多数のセキュリティ機能を実行する能力を提供する｡

02:39.420 --> 02:41.340
これらのデバイスは､ ネットワーク・ファイアウォール､

02:41.340 --> 02:44.580
ネットワーク侵入防止システム､ ゲートウェイ・アンチウイルスおよびアンチスパム､

02:44.580 --> 02:47.550
仮想プライベート・ネットワーク集中､ コンテンツ・フィルタリング､

02:47.550 --> 02:56.970
ロード・バランシング､ データ損失防止など､ 複数の専門デバイスの機能を単一のネットワーク・アプライアンス内に備えている｡

02:56.970 --> 02:58.890
これらの統合脅威管理デバイスには､

02:58.890 --> 03:00.390
技術者が学習し､ 操作し､

03:00.390 --> 03:02.130
保守する必要のあるデバイスの数を減らすなど､

03:02.130 --> 03:05.130
多くの利点もある｡

03:05.130 --> 03:08.460
これは､ これらの保護を提供するための全体的なコストを削減するのに役立つが､

03:08.460 --> 03:11.070
それでもいくつかの欠点がある｡

03:11.070 --> 03:11.910
UTMデバイスの最大の問題は､

03:11.910 --> 03:15.210
単一障害点であるということだ｡

03:15.210 --> 03:18.930
例えば､ デバイスが故障した場合､ ファイアウォールを失うだけでは済まなくなる｡

03:18.930 --> 03:21.300
ファイアウォール､ アンチウイルス､ 侵入防止システム､

03:21.300 --> 03:24.060
そういったものを失った｡

03:24.060 --> 03:25.890
つまり､ このデバイスを失えば､

03:25.890 --> 03:30.300
セキュリティ・スタック全体を失うことになる｡

03:30.300 --> 03:32.520
そのため､ 我々の組織では､ アーキテクチャへの導入を決定する前に､

03:32.520 --> 03:39.210
統合脅威管理のメリットとデメリットの両方を考慮する必要がある｡

03:39.210 --> 03:44.580
UTMを使用する利点には､ 初期費用､ メンテナンス､ 消費電力の削減などがある｡

03:44.580 --> 03:48.180
これらの機能はすべて､ 1台のラックマウント・デバイスに搭載されているからだ｡

03:48.180 --> 03:50.370
また､ 単一機能ごとに複数のデバイスを用意するよりも､

03:50.370 --> 03:53.580
設置や設定が簡単になる｡

03:53.580 --> 03:55.230
また､ 完全に統合することも可能で､

03:55.230 --> 03:57.090
これにも多くの利点がある｡

03:57.090 --> 03:59.040
ここでの大きな欠点は､

03:59.040 --> 04:00.300
単一障害点であり､

04:00.300 --> 04:09.090
より専門的なツールによって提供される詳細がしばしば欠けていることである｡

04:09.090 --> 04:11.640
UTMデバイスはほとんどの部分でうまく機能するが､

04:11.640 --> 04:17.490
セキュリティ検査で実行しようとする機能ごとに個別のエンジンを利用している｡

04:17.490 --> 04:19.590
一方､ 次世代ファイアウォールを使う場合は､

04:19.590 --> 04:22.110
より効率的なエンジンを使うことになる｡

04:22.110 --> 04:26.640
したがって､ ネットワークのスピードと効率が組織にとって最大の関心事であるならば､

04:26.640 --> 04:32.010
統合脅威管理デバイスよりも次世代ファイアウォールの使用を検討したい｡

04:32.010 --> 04:33.870
統合脅威管理デバイスを導入する場合､

04:33.870 --> 04:42.630
インライン構成のファイアウォールと同じように､ LANとインターネット接続の間に設置することになる｡

04:42.630 --> 04:44.880
このように､ ネットワークのアーキテクチャを設計する際､

04:44.880 --> 04:48.363
ファイアウォールに関してはさまざまな選択肢がある｡