「ファイアウォールって、どういう機能?」
「ファイアウォールを有効に利用することでどういうメリットがあるのだろうか?」
と思うことはあるのではないでしょうか。
ネットワークへの不正アクセスによるセキュリティ被害は企業にとって重要な問題で、真っ先に対策するべき課題です。ファイアウォールについて、言葉やなんとなくの意味は知っているものの、機能や有効な利用法を知らない方も多いのではないでしょうか。本記事ではファイアウォールの概要や利用法について解説します。
ファイアウォールとは
防火壁を意味するファイアウォールはネットワーク間に設置し、外部から内部のネットワークへの不正なアクセスの遮断、内部から外部のネットワークへのアクセスを制限する装置です。
外部の攻撃者は企業の機密情報の窃取、Webページの改竄、不正なログインなど様々な目的で社内のネットワークへのアクセスを試みますが、ファイアウォールによって許可された通信以外を遮断するようにしておけば、このような攻撃を防ぐことができます。
ファイアウォールの種類
ファイアウォールは通信の解析と制御の方法により、次の3種類に大別されます。
パケットフィルタリング型
通信を細分化したパケットを監視するファイアウォールです。
パケット単位の解析により決められたルールに基づいて、通信の許可を判断します。
パケットフィルタリングは更に次の3種類の仕組みに分けられます。
・スタティックパケットフィルタリング
送信元/宛先のIPアドレス、通信プロトコルのTCP/UDP、ポート番号等の情報を監視する仕組みで、事前にアクセスを遮断するパケットの種類をリスト化します。通信情報が保存されているヘッダを監視するのですが、中身の精査までは行わないため、偽装されたパケットに対して脆弱性があるのが難点です。
・ダイナミックパケットフィルタリング
必要に応じて通信に利用するポートを動的に割り当てる仕組みです。
特定のポートを常時利用していると、不正アクセスのリスクが高まるため、必要な時にポートを開閉してリスクを軽減します。
・ステートフルパケットインスペクション
ステートフルとは過去の通信を記録しておき、その記録を現在の通信に利用することを指します。
ステートフルパケットインスペクションは不正な通信かどうかを過去の記録から判断し、現在の通信と矛盾がある場合にアクセスを遮断します。高い防御性能を誇るのが特徴ですが、全ての通信を記録しておく必要がある点と、大量アクセス攻撃であるDoS攻撃には弱い点が難点です。
アプリケーションゲートウェイ型
HTTPやFTPなどアプリケーションプロトコル毎に、外部との通信の中継サーバであるプロキシによって通信を監視します。データの中身まで監視するため、処理に時間がかかりますが、偽装アクセスも見抜ける点が強みです。
ユーザー毎のアクセス制限や状況にるフィルタリングなど、汎用的なセキュリティ構築に適しています。
サーキットゲートウェイ型
パケットフィルタリングにポートの指定や制御の機能を追加したファイアウォールです。特定のアプリケーションやソフトの制御を行いたいときにおすすめです。
ファイアウォールの機能
次にファイアウォールの具体的な3つの機能について紹介します。
通信のフィルタリング
ファイアウォールの最も重要な機能になります。あらかじめ送信元/宛先のIPアドレス/ポートを設定しておき、許可した通信のみを通し、それ以外の通信を遮断することでセキュリティを確保します。
IPアドレスの変換機能
インターネット上で使用するグローバルIPアドレスと社内のネットワークで使用するプライベートIPアドレスを相互に変換するNAT(Network Address Translation)という機能です。社内のPCを秘匿して、セキュリティを確保する役割を果たします。
遠隔管理とログの監視
管理者は遠隔地からリモートでファイアウォールの運用や管理を行うことができます。また通信のログ監視機能により、不正アクセスの管理者への通知や、ログの調査、分析をリアルタイムでも行うことが可能です。
ファイアウォールと類似のセキュリティサービス
ファイアウォールはネットワーク層の侵入検知等に特化しており、ファイアウォールのみで全ての攻撃を防ぐことはできないため、類似の他サービスとの併用が必要です。
IDS/IPSとWAFを併用することで、OSI参照モデルの各階層を網羅的に防御することが可能です。
IDS/IPS
IDS(Intrusion Detection System)、IPS(intrusion Prevention System)はそれぞれ「不正侵入検知システム」、「不正侵入防止システム」を指します。ファイアウォールと同じくネットワーク上の通信を監視するシステムですが、OS/Webサーバーの脆弱性を突く攻撃を防ぐことに特化している点が特徴です。
WAF
WAF(Web Application Firewall)はWebアプリケーションの脆弱性を突く攻撃を防ぐことに特化したシステムです。SQLインジェクション、クロスサイトスクリプティング、OSコマンドインジェクションなど、正常なリクエストを装っているためファイアウォールでは検知できない攻撃を防ぐことができます。
ファイアウォール、IDS/IPS、WAFを併用することで、それぞれネットワーク、サーバーOS、Webアプリケーションレイヤーの攻撃を防御します。
ファイアウォールの設置場所
社内のネットワークと外部のネットワークの間に設置されるファイアウォールですが、メールサーバーやWebサーバーなど公開サーバーがある場合次の3つの設置場所が考えられます。
全社内ネットワークをファイアウォールの内側に置く
公開サーバーを含む全社内ネットワークをファイアウォールの内側に置きます。
社内から公開サーバーへのアクセスが簡単になる反面、公開サーバーが侵入された場合、社内ネットワーク全体がリスクに晒される可能性があります。
公開サーバーのみファイアウォールの外側に置く
公開サーバーのみ外側に置いておけば、公開サーバーが侵入されても、社内ネットワークには影響しません。
ただし公開サーバー自体を守るため、別途セキュリティ対策を講じる必要があります。
ファイアウォールを2台設置してDMZ(非武装地帯)を設ける
ファイアウォールを2台直接に設置してDMZ(非武装地帯)を設ける方法です。
ファイアウォールの管理は煩雑になりますが、比較的自由に外部からアクセスでき、その上外部のネットワークほど無防備でもない、特殊なネットワークエリアを構築できます。セキュリティと外部からのアクセスの両面のバランスが取れた方法のため、多くの企業が採用しています。
総合セキュリティ対策UTMとは
UTM(Unified Threat Management)は、本記事で紹介したファイアウォールやIPS、アンチウィルス、コンテンツフィルタリング、その他のセキュリティ機能を1台に詰め込んだ機器です。
個別の機器を用意する方が、ネットワーク性能や柔軟性では有利なのですが、セキュリティ機能をまとめてUTMで済ませると、個別に購入するより安く済む、管理の手間を減らせるといったメリットがあります。
まとめ
ファイアウォールについてその概要と、有効な利用法について解説しました。
ファイアウォールと一口で言っても、いくつかの監視と制御方法の種類があり、更にネットワーク層からアプリケーション層まで包括的に防御するにはファイアウォールといくつかのセキュリティサービスを併用する必要があるという点が理解いただけたかと思います。
本記事が、ネットワーク構築やそのセキュリティ対策について興味を深めていただける一助になりましたら幸いです。
ーーーーーーーーーーーーーーーーーーーー
企業のICT環境、情報システムでお悩みの方へ
株式会社KUIXでは、クラウドサービスやICTサービスに関すること、情報システム部門のサポートを総合的に行っております。
DX推進やBIツールの導入・活用におけるコンサルテーションも行っておりますので、ぜひお気軽にご相談ください!お問い合わせはこちらから
