ファイアウォールとは
ファイアウォールは、コンピューターネットワークを保護するための「防火壁」のようなセキュリティシステムのことです。インターネットや他のネットワークとの間に設置され、不正アクセスやウイルスなどのサイバー攻撃からネットワーク内のコンピューターを守ってくれる存在です。
具体的には、ファイアウォールは外部からの不審な通信を検出し、許可された通信のみをネットワーク内に入れる役割を持ちます。例えば、特定のウェブサイトへのアクセスをブロックしたり、特定のアプリケーションの使用を制限してくれます。
ファイアウォールの仕組み
ファイアウォールは「入ってくるトラフィック」と「出ていくトラフィック」を監視し、特定のルールに基づいて許可または拒否します。ルールに基づいて「通過させる情報」と「通過させない情報」を決め、安全性を保とうとするのです。
トラフィックは、インターネットプロトコル(IP)アドレスとポートによって特定の目的地を目指します。ポートは「入口」のようなもので、番号で識別され、それぞれ特定のタイプのネットワークトラフィックに割り当てられたものです。
例えば、ウェブサイトを見る時に使う「HTTP」はポート80、HTTPS(セキュアHTTP)はポート443を使用します。メールの送信にはSMTPがポート25を、メールの受信にはIMAPがポート143を使用。リモートワークをしながらオフィスに接続する際には、リモートデスクトッププロトコル(RDP)がポート3389を使用します。
これらのポートにはルールが必要であり、ファイアウォールはこのルールを使用して、ネットワークへの入出トラフィックを制御します。ファイアウォールはよく「ネットワークへの入り口を守ること」が強調されますが、ファイアウォールは出ていくトラフィックの制御も同様に行うということを覚えておきましょう。これにより、不正アクセスやスプーフィング攻撃、スパムメールなどを防ぎ、ネットワークのセキュリティを維持します。
ファイアウォールの種類
ファイアウォールには様々なタイプがあります。この章では、主要なファイアウォールの種類をご紹介します。ここで解説するのは「ネットワーク機器のファイアウォール」のみであり、Microsoft Windowsに組み込まれた個人用ファイアウォールなどの「ソフトウェアファイアウォール」は対象外です。
従来型ファイアウォール(パケットフィルタリング型)
最も一般的なファイアウォールは、「パケットフィルタリング型」と呼ばれる従来型ファイアウォールです。パケット(細分化された通信)を解析し、望ましくないトラフィックや危険な接続がネットワークにアクセスするのを防ぎます。トラフィックとポートにルールを適用し、それらのルールに基づいてアクセスを許可または拒否することで機能するのです。
ファイアウォールを通過できるトラフィックは、
- 発信IPアドレス
- 目的IPアドレス
- ポート番号
- プロトコル
などの基準に基づくルールの条件を満たすものだけで、それ以外のものはすべてブロックされます。
従来型ファイアウォールは、正しく設定されていれば非常に効果的です。ファイアウォールが機能しなくなる主な原因は「ファイアウォールルールの誤設定」や「ファームウェアの古さ」にあります。また、ファイアウォールの機能が高いほど、設定は複雑になります。
次世代ファイアウォール(NGFW)
次世代ファイアウォール(Next-Generation Firewall = NGFW)は、従来型ファイアウォールの能力を拡張したものです。ランサムウェアやDDoS攻撃などの高度な脅威に対応するためにも、非常に重要な存在です。
従来型ファイアウォールはパケットフィルタリングによって動作し、ルール基準に合格したパケットのみを通過させ、その他をフィルタリングして除去します。一方で次世代ファイアウォールは、パケットを詳細に検査し、トラフィックのタイプをより深く調査します。
従来型ファイアウォールが「身元をチェックし、書類を検査し、旅行の目的を尋ねる国境警備員」であるとします。次世代ファイアウォールはそれに加えて、あなたを捜索し、荷物の中身を調べるでしょう。つまり次世代ファイアウォールは各パケットの内容を見て、その情報をファイアウォールのルールと組み合わせて、より細かな判断を行うことができるのです。
例えば「昼休みに従業員がインターネットを使用すること」は許可したいが、「コンテンツのダウンロードやビデオチャットの使用」は許可したくない場合があったとします。その際、次世代ファイアウォールは、アプリケーションの使用方法について具体的に設定できます。例えば「Skypeを音声通話に使用できるが、ファイル転送には使用できないように」といった形です。
これらのデバイスは非常に高いレベルの保護を提供するため、
- PCI-DSS(Payment Card Industry Data Security Standard)
- HIPAA(Health Insurance Portability and Accountability Act)
- ISO/IEC 27001情報セキュリティ管理基準
などの基準に対する認証やコンプライアンスを達成するために、必要条件とされることがあります。
次世代ファイアウォールは通常、他のセキュリティ機能も備えています。設置後すぐに使用できるもの、オプションの追加機能、時にはサブスクリプションモデルを使用して提供されるものなど様々です。機能としては、
- 侵入検知
- マルウェアスキャン
- 一部の暗号化されたトラフィックの検査
などを備えており、「ゲートウェイセキュリティ」といった総称で呼ばれます。
パケットの検査に必要な時間はわずかですが、トラフィックの多いネットワークではこのわずかな時間が積み重なり、遅延を引き起こす可能性があります。
ネットワークの遅延を避けるためには、他のファイアウォールと組み合わせて負荷を分散をさせたり、より高速で強力で高価なユニットが必要な場合も出てくるでしょう。
ウェブアプリケーションファイアウォール
ウェブアプリケーションファイアウォールは、インターネットを通じてウェブサイトやアプリにアクセスする人々と、そのウェブサイトやアプリを運営するサーバーの間に立つ「監視員」のような存在です。その役割は、ウェブサイトに来る訪問者が安全な人であるかを確認し、危険な試み(不正なアクセスやサイバー攻撃など)を防ぐことです。
ウェブアプリケーションファイアウォールは、訪問者とウェブサイトの間に保護壁を作ります。これにより、ウェブサイトを守りながら、安全にインターネットサービスを提供できます。ウェブアプリケーションファイアウォールはシンプルさと速度を重視して効率的に動作するよう設計されており、管理や更新も簡単に行えることが特徴です。
ウェブサイトやアプリは、多くの人に使われることがあり、それによって大量のデータのやり取りが発生します。このため、ウェブサイト専用のファイアウォールを設置して通常のネットワーク保護とは別に管理することが有効です。それによってウェブサイトに特化した保護を強化し、コストも抑えることができます。
データベースファイアウォール
データベースファイアウォールは、ウェブアプリケーションファイアウォールの特殊なケースです。これらは、SQLインジェクションやクロスサイトスクリプティングなどの「データベースに特有の攻撃」を検出して無力化する機能を備えています。
データ漏洩は、企業の評判損失、ユーザーの信頼低下、監督当局からの罰金支払いなど、大きな問題になる可能性もあります。そのためデータベースとその中のデータを保護するために、対策を講じることが重要です。
データベースファイアウォールには通常、ダッシュボードが含まれており、データベースへのアクセスやトラフィックを確認・レビュー・報告できます。データ漏洩に関しての対策の1つとなり得るでしょう。
UTM(統合脅威管理)
UTM(Unified Threat Management = 統合脅威管理)は、さまざまなファイアウォールやセキュリティデバイスの機能を一つの装置に組み合わせたものです。これにより複数のセキュリティツールを一つにまとめて、効率的に脅威からネットワークを保護できます。
例えば、典型的な機能には以下のようなものが含まれます。
- 従来型ファイアウォール:不正アクセスからネットワークを守る
- 侵入検知システム:不審な活動や侵入を検出する
- パケットスキャニング:ウイルスやマルウェアなど、悪意のあるデータを含む通信をチェックする
- ウェブアドレスのブラックリスト:従業員がフィッシングサイトなどの危険なウェブサイトにアクセスするのを防ぐ
UTMは通常のファイアウォールよりも高価な場合が多いですが、同じ範囲の高度なセキュリティを別々で使用する場合よりは安価に収まる場合がほとんどです。コスト面・運用の手間・セキュリティという複数の視点から考えた時に、UTMが総合的に良い代替手段となる場合もあります。
クラウドベースのファイアウォール
クラウドベースのファイアウォールは、ファイアウォールをインターネット上で利用できるサービスです。クラウド(インターネット上の仮想空間)に設置されており、ファイアウォールの専門会社が提供しています。クラウドベースのファイアウォールは、いつでもどこからでもアクセスできるため非常に利便性が高く、大量のインターネットトラフィックにも対応できます。
企業がクラウドベースのファイアウォールを利用する場合、自社のコンピューターやネットワークからインターネットへのアクセスを、クラウド上のファイアウォールに転送するだけでセキュリティ対策を行うことが可能です。ファイアウォールの専門家によって維持管理および設定されるため、社内にそのような特殊なスキルを持つ人材を必要としません。従ってリモートで働く人やスマートフォンを使う人も、安全にインターネットを利用できるようになります。
クラウドベースのファイアウォールは特に、複数の場所にオフィスを構える大きな組織にとって便利と言えるでしょう。すべての場所を1つのファイアウォールで守ることができるため、設置する手間やコストを省くことができます。
コンテナファイアウォール
コンテナファイアウォールは、クラウドやデータセンターで使われる「コンテナ」という技術に特化した保護システムです。コンテナとは、一つのサーバー上で複数のアプリケーションを独立して動かすための技術です。コンテナファイアウォールはこれらコンテナ内で動くアプリケーションと、外の世界との間でやり取りされるデータをチェックし、安全なやり取りだけが行われるように監視します。
従来型ファイアウォールが家や会社の入り口を守る「警備員」の役割だとしたら、コンテナファイアウォールは大きなビルの中の「特定の部屋を守る警備員」のようなものです。ビル全体を守るだけでなく、中の大切な場所も個別にしっかり守ります。
たくさんのコンテナを使っている場合、それぞれに個別のファイアウォールを設定・管理するのは大変な作業です。だからこそ、コンテナ専用のファイアウォールが必要になります。コンテナファイアウォールを活用することにより、効率的に安全を保ちながら、複数のアプリケーションをスムーズに運用できるのです。
ネットワークセグメンテーションファイアウォール
ネットワークセグメンテーションファイアウォールは、企業内の特定の部門やチーム・機能エリアを守るために使われるファイアウォールです。特に「カードの支払いデータ」などの機密情報を扱うエリアを内部的に保護するために使用されます。物理的なアクセス制御などの他の対策と合わせて、PCI-DSS(クレジットカード業界のセキュリティ基準)のような基準を満たすために必要な保護として導入されることが多いです。
また、ネットワークの一部(サブネット)の境界に設置され、潜水艦の防護壁のように機能します。もし一つのエリアでセキュリティ侵害が起きた場合、スパイウェアの侵入や感染の拡散を防ぐためにネットワークセグメンテーションファイアウォールが機能します。
大規模で複雑なネットワークを持つ大企業や組織にとって、ネットワークセグメンテーションファイアウォールは非常に有効な手段の1つです。これにより、ネットワークの特定の部分だけを厳重に保護することが可能になります。
ファイアウォールの注意点
ファイアウォールは、インターネットからの危険を防ぐための重要なツールですが、使い方を間違えると十分に機能しない場合があります。ファイアウォールの効果は、些細なミスで損なわれる可能性があります。ここでは、ファイアウォールに関する注意点を見ていきましょう。
デフォルトパスワードの変更
ファイアウォールを設置したら、デフォルトのパスワードを必ず変更しましょう。ファイアウォールの出荷時のパスワードを、そのままにしている企業もいまだに存在します。パスワードを変更せずそのままにしていると、悪意のある攻撃者がファイアウォールに接続し、いつでもネットワークにアクセスできるようにルールを設定できてしまいます。
不要なポートの閉鎖
使用していないポートを閉じることで、不要なアクセスポイントを減らし、セキュリティを強化できます。ファイアウォールは、ポートセットが開いた状態で配送される可能性があります。ファイアウォールのポートを管理し、必要なものだけを開放するよう設定し直しましょう。
ルールの整合性の確保
設定するルールに矛盾がないように注意しましょう。矛盾するルールは、セキュリティの穴となり得ます。一方または両方のルールが適用されず、ファイアウォールがうまく機能しなくなる可能性も出てきます。
ルールを設定する際は、一貫性とセキュリティのバランスを考慮することが重要です。
定期的なセキュリティ更新
ファイアウォールソフトウェアは定期的に更新が必要です。セキュリティパッチやアップデートを適用することで、新たな脅威から保護することが可能になります。
セキュリティ状況を見直し、常に最新の状態にアップデートするようにしましょう。
ファイアウォールの知識を身につけ、計画的にセキュリティ対策をしよう
ファイアウォールについて解説しました。ファイアウォールは、コンピューターネットワークを保護するための「防火壁」のようなセキュリティシステムです。用途によって様々な種類のファイアウォールがあるので、最適なものを選んで使用するようにしましょう。
ファイアウォールの設定や管理には「資金」と「技術を持ったスタッフ」の両方が必要となります。効果的なメンテナンスを行うためには、しっかりとしたプロセスと手順を定め、それを適切に実行することが不可欠です。またソーシャルエンジニアリングなど外部からの脅威への対策も重要です。
正しい知識を身につけ、脅威から身を守るためのセキュリティ対策を計画的に進めましょう。