目次
ファイアウォールとは
ファイアウォールとは、通信のあて先の情報をもとにして、不正が疑われる通信を遮断する仕組みです。利用することで外部からの不正な侵入や攻撃から、企業や組織のネットワークを守ることができます。
ファイアウォールは、単体のコンピュータで利用するパーソナルファイアウォールと、ネットワーク用のファイアウォールに分かれます。
パーソナルファイアウォールは、コンピュータ単位で導入や設定を行うものです。Windows10をはじめ、ほとんどのOSにデフォルトで付いています。セキュリティソフトもファイアウォールの機能が備わっているものが多いです。
ネットワーク用のファイアウォールは、企業単位や組織単位などで導入や設定を行います。
企業や組織で使用されている個々のコンピュータは、ネットワークの内部にあるため、不正な侵入や攻撃がそこに到達する前の段階で守られます。
ファイアウォールの仕組み
コンピュータにはポートというデータの出入口があります。データを送受信するときにはポートが開きますが、ファイアウォールはポートを出入りする情報を監視します。
そして不正が疑われる情報が確認されると、ポートを閉じる仕組みです。ポートが閉じると外部からデータを受け取ることができないため、マルウェアなどが入り込もうとした場合でもコンピュータを守れます。
不正な侵入がコンピュータ内部から、外部のコンピュータに対して行われようとするときにもファイアウォールが活躍します。コンピュータがいったんマルウェアに感染してしまうと、勝手に外部にデータを発信してしまうことが多いです。
これによりデータの流出などの被害をもたらすことがあります。ファイアウォールが機能することで、そのような被害を未然に防げることもあるのです。
ただ、最近では不正なアクセスでも不正でないように見せかけた手法で侵入や攻撃を試みるケースが多く発生しています。そのため、ポート番号の割り振りを行う、ソフトごとに設定を変えるなどの工夫が必要です。
ファイアウォールの主な種類3つ
ファイアウォールには、いくつかの種類が存在しています。主に、「アプリケーションゲートウェイ型」「パケットフィルタリング型」「サーキットレベルゲートウェイ型」があります。
種類によって仕組みや防御できる範囲などが異なるため、自社に合ったファイアウォールを構築するためには、各種類の特徴を学んでおく必要があります。以下にそれぞれの詳細をご紹介しますので、参考にしてください。
ファイアウォールの主な種類1:アプリケーションゲートウェイ型
ファイアウォールの主な種類1つ目は、アプリケーションゲートウェイ型です。内部コンピューターの代わりに通信する比較的新しいタイプで、プロキシサーバ型やゲートウェイ型とも呼ばれています。
各アクセス詳細のチェックでセキュリティの是非をチェックし、パケットの中身まで把握できる仕組みを持っています。これにより、従来の仕組みでは効果が薄かった偽造アクセスなども見抜くことができます。
監視はプロキシで内部コンピューターを隠した状態で行なうため、パケットフィルタリング型よりも高いセキュリティ性を誇ります。ただし、パケットの通信を1つ1つチェックする仕組みなので、従来の仕組みよりパケット速度が遅い傾向にあります。
ファイアウォールの主な種類2:パケットフィルタリング型
ファイアウォールの主な種類2つ目は、パケットフィルタリング型です。通信を細分化したパケットで監視し、ルールに基づく分析の結果で通過許否を判断する仕組みを持ちます。事前に特定のサービスやソフトウェアの通信設定を行なっておくと、効率的に分析・判断が進みます。
パケットフィルタリング型の細かな仕組みは3つに分類され、スタティックパケットフィルタリング・ダイナミックパケットフィルタリング・ステートフルパケットインスペクションがあります。同じパケットフィルタリング型でも、防御の仕方に違いがみられます。
以下に表でご紹介します。
| 仕組みの種類 | 特徴 | 気になる点 |
|---|---|---|
| スタティックパケットフィルタリング | 事前に通過させないパケットの種類をリスト化し、宛先情報(送信元・宛先アドレス・TCP/UDPトラフィック・ポート番号・通信プロトコルなど)を監視します。 通過させないパケットに該当した場合、その通信は廃棄・拒否されます。また、宛先側にエラーコードが送信されるタイプもあります。 | パケットの中身までは精査しないため、偽装パケットの検出はできません。また、アプリケーションの脆弱性を狙った攻撃にも防御性は低いです。 仕組み自体はシンプルですが、パケットを1つ1つ確認するのでリスト化に時間がかかります。 |
| ダイナミックパケットフィルタリング | 通信に使うポートを、必要に応じて動的に割り当てる仕組みです。 サービスやソフトウェアは同じポートを継続利用すると悪意あるアクセスを受ける可能性が高まる(セキュリティ性が落ちる)ため、必要な時にポート開閉を行うことで攻撃の隙を減らします。 | |
| ステートフルパケットインスペクション | 悪意ある通信をコンテキスト(文脈)で判断する仕組みです。 これまでに送信された通信記録を文脈として記録し、現在の通信との間に矛盾点があった場合にその通信を廃棄・拒否します。 正しい手順で送信されたアクセスのみ通過させるため、高いセキュリティ性を持つファイアウォールが構築できます。 | 全てのコンテキストを記録管理する必要があります。また、コンテキストを記録する仕様上、DoS攻撃(大量アクセスが主体の攻撃法)には弱いです。 |
ファイアウォールの主な種類3:サーキットレベルゲートウェイ型
ファイアウォールの主な種類3つ目は、サーキットレベルゲートウェイ型です。従来のパケットフィルタリング機能に、ポート制御機能(通信に対する許可と制御を決めるポートの指定を行う機能)を追加した仕組みを持ちます。
サーバーごとに任意のポートを割り当てることができる仕組みになっているため、特定のアプリケーションやシステムのみを制御することができます。全体的に制御をかけると不便な場合には、一部分のみ制御をかけられるサーキットレベルゲートウェイ型が向いています。
ファイアウォールを設定する時のポイント3つ
ファイアウォールはWindowsなどの標準搭載タイプと、別途ソフトに含まれているタイプがあります。標準搭載はシステム設定から有効化・無効化などの設定が可能で、別途ソフトは各ソフトの設定方法に沿って設定していきます。
ファイアウォールの設定を行う時には、セキュリティ性を高めるために意識したいポイントがいくつか存在します。具体的には、許可設定を定めること・ポート番号を割り振ること・ポートを防ぐだけで安心しないことが挙げられます。以下に、各詳細をご紹介していきます。
ファイアウォールのポイント1:許可設定を定める
ファイアウォールを設定する時のポイント1つ目は、許可設定です。インストールされているアプリケーションやソフトウェアごとに許可設定を行うことができるため、不要なものは動作できないようにしておきましょう。
ただし、見慣れないアプリケーションなどの中には裏で必要になるものもあります。何のアプリケーションなのかよく分からない時には、調べながら設定することをおすすめします。
ファイアウォールのポイント2:ポートを防ぐだけではNG
ファイアウォールを設定する時のポイント2つ目は、ポートを防ぐだけで安心しないことです。ファイアウォールにおける基本の仕組みはパケットフィルタリング型ですが、この種類はなりすまし型(偽造パケット)に対する効果が薄いため、守りに隙ができてしまいます。
対応できる脅威はファイアウォールの種類や仕組みで異なるため、それぞれの弱みを補うために各種類を組み合わせた方が良いと言われています。また、二段構えとしてセキュリティソフトを導入することもおすすめします。
ファイアウォールのポイント3:ポート番号を割り振る
ファイアウォールを設定する時のポイント3つ目は、ポート番号の割り振りです。ポート番号の中は、不正侵入に使われやすいものがあります。悪用されるリスクの高いポートは事前に制御しておきましょう。
ファイアウォールでは、サーキットレベルゲートウェイ型ならポート番号ごとにセキュリティレベルや制御などの設定が可能です。ポート番号の割り振りでセキュリティ性をより向上させたい時には、サーキットレベルゲートウェイ型の使用や併用がおすすめです。
| ポート番号 | 悪用リスク |
|---|---|
| 135 | ワーム感染などでよく悪用されます。 |
| 137・138 | コンピュータ名・ドメイン名・MACアドレスなどパソコン情報が漏れやすいため、悪用されることがあります。 |
| 139・445 | ファイルやプリンタの共有などの通信に使うため、共有フォルダに不正侵入されるリスクがあります。 |
ファイアウォールの注意点3つ
ファイアウォールを使用する上では、セキュリティ性の面で注意すべきことがいくつかあります。特に挙げられる内容は、脅威をすべて防げるわけではないこと・自社に合っているものを選ぶこと・運用しやすいものを選ぶことです。
ファイアウォールだけで完全に安全ということはないため、弱い部分を補う工夫が必要になります。また、種類で仕組みなどに違いがあるので合うものを選ぶ必要があり、正しく効率的に働かせるためにも運用のしやすさは考慮したいところです。
ファイアウォールの注意点1:脅威をすべて防げるわけではない
ファイアウォールの注意点1つ目は、脅威をすべて防げるわけではないことです。ファイアウォールはコンピューターセキュリティの基本ですが、あくまでも一部分に対する防御性を持つものです。
ファイアウォールが有効に働くのは不正アクセスやネットワーク攻撃のみで、ウイルス感染が起きているファイルの検出などはできません。防ぐことができない部分は、その攻撃に対応している別のセキュリティソフトを併用すると良いでしょう。
ファイアウォールの注意点2:自社に合っているものを選ぶ
ファイアウォールの注意点2つ目は、自社に合っているものを選ぶことです。ファイアウォールは種類によって仕組みや役割が異なるため、自社のシステム構造やニーズに合っているかどうかは導入前によく確認する必要があります。
ファイアウォールには一般的なタイプと、パーソナルタイプが存在します。この2つは守る対象と規模が異なり、一般的なタイプは外部のネットワーク通信から内部ネットワークを守るもの、パーソナルタイプはコンピューター1台のみを守るものです。
また、セキュリティの方法はファイアウォール以外にも複数存在するため、ファイアウォール以外に適したものがないかを確認することも大事と言えます。自社と、使用・併用するセキュリティの兼ね合いを考えましょう。
ファイアウォールの注意点3:運用しやすいものを選ぶ
ファイアウォールの注意点3つ目は、運用しやすいものを選ぶことです。全ネットワークの通信を扱うため、通信量の増大化に対する処理能力やファイアウォール自体の性能レベルなどは重要になります。
これら要素を確認せず導入した場合、トラフィック量の増大化に伴い処理速度が低下したり、ハードウェア障害による運用停止など突然のトラブルが発生する可能性が高くなります。そのため、処理能力や復旧体制なども含めた運用のしやすさも考慮しましょう。
ファイアウォールが社内ネットワークを守る
ファイアウォールが機能することで、安心してコンピュータやネットワークを利用できます。
社内でセキュリティやIT部門を担当するエンジニアは、なりすましなどの侵入や攻撃から社内ネットワークを守れるような体制を整えておきましょう。
インフラエンジニア専門の転職サイト「FEnetインフラ」
FEnetインフラはサービス開始から10年以上『エンジニアの生涯価値の向上』をミッションに掲げ、多くのエンジニアの就業を支援してきました。
転職をお考えの方は気軽にご登録・ご相談ください。
