【情報セキュリティ】ファイアウォールの管理状況の監査について

システム監査に携わっている方でも、ファイアウォールの監査をどのようにすればよいかわからないという方は多くいらっしゃるかと思います。少なくとも以下の手続きはできそうです。

(1) ファイアウォールのソフトウェアのバージョンは適切か。
⇒ソフトウェア(OS)のバージョンが古い場合は、最近の攻撃に対応できていない可能性があります。最新のものにアップデートできていない理由を確認する必要があります。また、サポート切れのバージョンを使い続けている場合は更新を提案することが望まれます。

(2) ファイアウォールの構成（セキュリティポリシ／フィルタリングルール）の変更について申請手順があるか、また、適切なマネージャーによって事前に承認されているか。
⇒プログラムの変更管理については、承認手続きを厳格にしている会社でも、ファイアウォール含め、ネットワークの変更の手続きはネットワーク担当者に任せきりという場合も多いようです。変更の手順を定め、未承認の変更は防止することが望まれます。
ファイアウォールを「テスト環境」、「本番環境」を分けている会社は少ないと思います。本番環境を直接変更する場合も多いと思いますので、事前にしっかりと設定変更をレビューした上で変更することが望まれます。
また、サイバー攻撃等で止むを得ず「変更手続き」を経ずに設定変更する場合もあるかと思いますが、応急対策フェーズから恒久対策フェーズに移った際に、変更内容をレビューする必要があると考えます。

(3) ルーター/ファイアウォールの構成の変更が会社のLAN経由でのみ許可されているか。
⇒インターネット側からの設定変更許可はリスクが高いですので、許可しない設定にすることが強く望まれます。

(4) 構成のバックアップファイルが安全なストレージに保存されているか。
⇒構成ファイル（コンフィギュレーションファイル）について適切にバックアップされている必要があります。また、安全な（アクセス管理が十分になされた）場所に保管されている必要があります。

(5) デフォルトのパスワードから安全なパスワードに変更されているか。
⇒デフォルトのパスワードを使用しないこと、また、ネットワーク担当者が交代した場合（ベンダー担当者が交代した場合も含む）は速やかにパスワードを変更する必要があります。

(6)侵入テスト（脆弱性診断）が定期的に実施されているか。
⇒「予算的に厳しい」という会社もあるかと思いますが、極力侵入テストは実施した方がよいかと考えます。

(7)定期的に設定に問題ないかレビューされているか
⇒脆弱性に関する情報を常時収集し、自社のファイアウォールに影響はないかを定期的に確認する手続きが必要です。また、過去に通信許可設定したものでも、既に不要となったルールが無いかの棚卸は必要です。既に不要となったルールは速やかに削除（無効化）する必要があります。

以上がネットワーク（ファイアウォール）を苦手とするシステム監査人でもできる手続きと考えます。
設定ファイルの内容もが理解できる方は、①過大な通信許可設定がなされていないか、②特定の端末が特定のポートの通信許可設定がなされている場合は当該設定に関する通信許可申請が提出されているか、等を確認してもよいかもしれません。