株式会社タフス

FWを選ぶときのセキュリティ強度ってどこ見ればいいの?

どもです。bassetです。

FWを選ぶときのセキュリティ強度ってどこ見ればいいの?
数値化されてないの??

と最近、ご質問を頂きました。

いつも機器選定の時はスループット、セッション数、VPNの仕様、あとFWが持つ癖を気にします。フィルタリングのスループットは早いけど、UTMスループットは、、、とか。
※特にIPSEC VPNの張り方と本数(ルートベースなのか、ポリシーベースなのか)
 これがポリシーベースしかできないとルーティング設計をちゃんとしないと
 はまります。はい。。。

がしかし、、、セキュリティ強度を数値化と言われて困ってしまいました。
メーカーに聞いても、擬似環境で攻撃テストでもして検証しますかね〜。。。
との回答でした。そら、攻撃してこれくらいなら耐えれますけど、
これ以上だったら耐えられません。。。なんておおっぴらにしたら、それ自体が
セキュリティーホールになる気がするのですが、、、。

でも、メーカーでもセキュリティ準拠規格で作ってるんですね〜。
(あたりまえか、、、)
ちなみにこんな規格があります。
FIPS (federal information processing standard )
EAL(Evaluation Assurance Level )
ICSA Labs※規格というかベライゾンがやってるテストサービス??

勉強になりました。。。
ご興味あればぐぐってみてください。

ではでは。