好きな所から読む
個人情報の漏洩やWebサイトの情報改ざんのリスクは、会社の規模に関わらず、すべての企業が持つ課題です。損害賠償や社会的信用の損失など大きな問題にも繋がりかねず、万全なセキュリティュ対策を行うことが必要不可欠です。
⇒ファイアウォールのセキュリティ課題を解決するゼロトラストネットワーク。ゼロトラストの原理・原則や実現方法に関する資料を無料プレゼント中!
ファイアウォールとは
会社の規模や保護対象によって様々なオプションがありますが、まずは、基本となるセキュリティシステムが、ファイアウォール(Firewall)です。ファイアウォールは、「防火壁」というその名のごとく、外部と内部のネットワークの境界線で一定のルールを基に異常を監視し、未然に侵入を防ぐ役割をはたします。外部からウイルスなどの不審なものが侵入しようとするのを防ぎ、また、内部から個人情報や機密情報などの重要なデータが勝手に送信されようとするのを防ぎます。WindowsなどのOSに導入されていたり、有料のウィルス対策ソフトなどにも搭載されていて、不正なアクセスをブロックする役目を果たします。セキュリティに重要なファイアウォールの仕組みや種類を正しく理解することで、自社にとって必要な対策方法の検討を始めましょう。
ファイアウォールの仕組み
コンピューターには、ポートという通信の出入口があります。ポートはコンピューターやサーバーごとに0から65535番まであり、ソフトウェアごとに特定のポートを開いて通信します。ファイアウォールは、制御したいポートを設定することで、正しい通信を識別して不正な通信をブロックできるフィルタリングの仕組みです。外部からの不正なものの侵入を防ぎ、内部から機密情報などが不正に流出しようとしているのを防ぎます。さらにNAT(ネットワークアドレス変換)というIPアドレスを変換する仕組みで、インターネットのグローバルIPアドレスを各PCのプライベートIPアドレスに、またはその逆の変換によりIPアドレスが特定されないことでセキュリティが守られます。ファイアウォールは、いわば外部ネットワークと社内ネットワークの間の“壁”の役割をはたします。ファイアウォールの種類によって、この壁の位置や防御の方法が異なります。主な機能は3つあり、利用側の環境に合わせて使い分けることで、セキュリティの強化が可能になります。
| パケットフィルタリング型 | 通信を許可するパケット情報のIPアドレスやポート番号を設定し、許可のないパケットのアクセスをシャットダウンする一般的なセキュリティ対策方法。 |
| アプリケーションゲートウェイ型 | 内部コンピュータの代わりにアプリケーションの通信を行い、アクセスの詳細まで細かくチェックすることで、「なりすまし」型の不正アクセスを防御することが可能。 |
| サーキットレベルゲートウェイ型 | 通信を許可するIPだけでなく、ポートや制御を選択することができる。特定のシステムやソフトウェアにだけ制御をかけることが可能。 |
WEBアプリケーションファイアウォール(WAF)とは関係あるの?違いは?
近年、より巧妙な手法で企業の情報やデータを狙う犯罪が増えてきています。ウェブサイトの脆弱性を狙った攻撃に対して、ファイアウォールだけでは防ぎきれないケースがあるのです。こうしたウエブサイトの脆弱性は、プログラム作成時の不備によるアプリケーションの誤作動や、サーバーの設定、運営するデータやコンテンツ管理の設定などが原因となります。そこで、より万全な対策として併用したいのがWEBアプリケーションファイアウォール(WAF)です。ファイアウォールはネットワークを監視してパソコンを守る役目であるのに対し、WEBアプリケーションファイアウォール(WAF)は、ウェブサイトのファイルが置かれていたりウエブシステムを動かしているウェブサーバに特化して監視し、不正なアクセスを防ぎます。個人情報や顧客情報などのデータが含まれるウェブサービスを対象として、ウエブサーバやウエブアプリケーションへの不正アクセスを防ぎます。ファイアウォールとWAFは、保護する対象と防御できる攻撃の種類が異なります。したがって、両方を併用することで、より強固なセキュリティが実現可能になります。
ファイアウォールは、すべての攻撃を防げるものではありません。外部から内部システムへのアクセス制限をすることはできても、外部へ公開しているサーバーやWEBアプリケーションへの制限をすることはできません。そこでWEBアプリケーションへのセキュリティ対策としてのWAFが必須アイテムとなってきます。WAFはインストールしているソフトウェアが多ければ多いほど、脆弱性を持つ可能性が高まり、攻撃を受けるリスクも高まるということを覚えておきましょう。
IDS/IPSとファイアウォールの違いは?
IDS(Intrusion Detection System)とは、日本語では「侵入検知システム」と言い、コンピュータのネットワーク上で通信される内容を監視し、疑わしい内容を検知するとフラグやマークを付けます。IPS(Intrusion Prevention System)とは、日本語で「侵入防止システム」です。IDSの進化版のようなもので、検知した疑わしい内容のアクセスを防止したり阻止したりします。IDS/IPSは、サーバにインストールしてコンピュータを監視するホスト型と、ネットワーク上に設置してネットワーク内で通信されるパケットを監視するネットワーク型の2種類があります。ホスト型はファイアウォールの内側、ネットワーク型はファイアウォールの外側や内部ネットワーク上などが設置場所となります。
ファイアウォールとIDS/IPSはどちらも外部からの不正なものを防御するためのものではありますが、その監視対象や守備範囲、設定ゴールが異なります。ファイアウォールはIPアドレスやポートから不正を判断して防御しますので、たとえウイルスのファイルが含まれていてもIPアドレスやポートが正しく一致するものであれば防御の対象にはなりません。それに対してIDS/IPSはデータやパケットの内容から不正を判断しますので、これらを併用することでより強固なセキュリティシステムを確保することが可能になります。
保護対象 防御する攻撃
| 保護対象 | 防御する攻撃 | |
|
ファイアウォール |
社内ネットワーク | 標的型攻撃、マルウェア感染、ネットワークのアクセス制御を超える攻撃 |
|
WAF |
公開ウェブサーバ | SQLインジェクション、クロスサイトスクリプティング、パスワードリスト攻撃 |
|
IDS/IPS |
社内ネットワーク、ホスト | OSやミドルウェア層に対する攻撃、クラッカーの攻撃 |
ファイアウォールの種類
パーソナルファイアウォール
主に個人で利用するパーソナルコンピューターでインターネット接続を行うものを対象とするファイアウォールです。一般的なファイアウォールと同様に、外部ネットワークから内部へ、またはパソコン内部から外部ネットワークへの通信を監視して不正なものを検知して遮断します。単体のソフトウェア型やウイルス対策ソフトに組み込まれているものなどがあります。
ネットワーク用ファイアウォール
主に企業などで複数のパソコンをネットワークでつないで利用する際に使われるファイアウォールです。インターネット回線と社内LANとの間に設置し、ネットワークの入り口で通信を監視することでネットワーク全体を保護します。外部からの不正なアクセスや、内部からのデータの不審な流出を防ぎます。ソフトウエア型やルータに搭載するタイプがあります。
ソフトウェア
ソフトウェア型のファイアウォールは、Windows7以降のOSが搭載されたパソコンには、「Windowsファイアウォール」としてあらかじめ組み込まれています。この種類のファイアウォールは、「パーソナル型」ともよばれ、パソコンやサーバ1台ごとにインストールして利用します。機能面では通常のファイアウォールと同じくネットワークでの通信を監視して、インターネット上の不正な通信がパソコンに侵入することを防ぐ役割をはたします。どのソフトウェアを選ぶかは、それぞれのパソコンとの相性もあります。ソフトウェア型は個人使用向けに使いやすく、必要な設定は予め組み込まれいて、パソコンの環境に合わせて選択していけばいいような設計になっています。ほとんどの有料ソフトは、無料の体験版が公開されているので、購入前に一度試してから見極めるとよいでしょう。
代表的な有料ソフト
| Symantec Endpoint Protection | 株式会社シマンテック | 脅威の予防、検出、対応と、ディセプション、適応の機能を備えた最先端のセキュリティソフト |
| FortiGate | フォーティネットジャパン株式会社 | 専用のセキュリティプロセッサとFortiGuard Labsの脅威インテリジェンスセキュリティサービスを活用 |
| Sophos XG Firewall | ソフォス株式会社 | ネットワーク上の感染元を特定し、他のリソースへのアクセスを自動的に制限して対処することが可能 |
| パロアルトネットワークス 次世代ファイアウォール | パロアルトネットワークス株式会社 | アプライアンス製品を中心とした次世代ファイアウォール |
ハードウェア
ハードウェア型のファイアウォールは、外部ネットワークと内部ネットワークの間に設置されるルータに搭載され「ゲートウェイ型」ともよばれます。ソフトウェア型と異なり、ルータ内でファイウォールが監視するように組み込まれていて、社内ネットワークを保護することで、一度に複数のコンピューターを対象に保護することが可能です。データ全体をチェックするので通信が遅くなります。ただ、企業においては、一台のコンピューターがなんらかの攻撃を受けてしまった場合、社内全体のネットワークに影響が出てしまうため、それぞれのコンピューターを守るソフトウェアとの併用が欠かせません。
フリーウェア
通常、最新のパソコンであれば、ファイアウォールがプリセットされていますが、旧式のパソコンを使っている場合や既存のソフトウェアが使いづらい場合など、無料のソフトウェアをインストールすることが可能です。標準装備のファイアウォールが拡張されて機能が向上し、不正なアクセスへの対策に強度が増します。ただ、フリーウェアは、あくまでも簡易的なセキュリティ保護機能のみ提供されるものなので、個人用パソコンであってもセキュリティ対策としては万全でないことを覚えておきましょう。
Windows ファイアウォール
Windowsファイアウォール(Windows Firewall)とは、Windows XP Service Pack 2から搭載されているWindows OSの標準セキュリティ機能の一つです。デフォルトでは、内部から送信されるデータに対してはすべてが許可の設定となっているため、たとえばマルウェアに感染した場合、データ流出を防ぐことができません。管理ツールより個別に設定することが可能です。有料もしくは無料のソフトウエアによるファイアウォールを使用する場合には、管理ツールでこの標準機能を無効にすることが可能です。
代表的なフリーソフト
| ZoneAlarm Free Firewall | 安定した性能でもっとも基本的なフリーソフト |
| Windows 10 Firewall Control | Windows 標準の”Windows ファイアウォール”の管理に最適なソフト |
| Privatefirewall | マルウェア、ハッキング、フィッシング詐欺、その他の脅威からパソコンの安全を守るファイアウォールソフト |
ファイアウォールを設置する
社内でファイアウォールを設置する場合、社内ネットワークを保護するだけでなく、社外ネットワーク(公開ネットワーク)へのリスクも考慮する必要があります。社内ネットワークと社外ネットワークの両方をファイアウォール内におさめた場合、万が一社外ネットワークに異常があった場合、社内ネットワークにも影響が出てしまいます。一方で、社内ネットワークのみファイアウォール内におさめた場合、社外情報として公開ネットワークにおかれている情報が危険にさらされてしまいます。そこで、いちばんリスクが低い方法は、ファイアウォールを2台設置する方法です。社外ネットワーク用と社内ネットワークを分けて設置し、2台のファイアウォールで守られたエリア(DMZ、非武装地帯)に、外部公開サーバーを置くことで、外部からの攻撃と内部からの情報漏えいを防ぎ、安全かつアクセスしやすい環境をつくることができるのです。以上の具体的な構築方法は、次の導入方法で説明しています。
ファイアウォールの導入方法
ファイアウォールを導入するにあたり、まずは正しい設計が重要になります。社内のセキュリティ環境において、現状の把握と課題を棚卸することで、必要な設計が決まります。下の3つのステップを検討し、導入に備えましょう。
- 社内のセキュリティ体制と保護対象において、現状把握と課題の棚卸
- セキュリティポリシーの構築
- 許可する通信とアクセスの定義化
以上が明確になったら、具体的な構築方法を検討しましょう。ファイアウォールを導入する際、検討可能な構築方法は3つあります。
1.スクリーンホスト構造
スクリーニングルーターと要塞ホスト(bastion host)からなる構築方法です。要塞ホストとは、ファイアウォールで強力に保護されたコンピューターのことで、ファイアウォールの外側のネットワークから直接アクセスされる唯一のホストです。
外部からの通信は、パケットをスクリーニングルーターでフィルタリングし、要塞ホストによって破棄するか判別します。内部からの通信は、一度要塞ホストを通り、スクリーニングルーターから外部へつなぎます。中継地点である要塞ホストは、外部から見える位置にあり、攻撃の対象になりやすいです。要塞ホストが攻撃されれば内部への侵入が可能になるため、厳重なセキュリティが必要になります。
2.デュアルホーム構造
「デュアル」は、「二つの」という意味があるように、この構造は外部と内部のネットワークに、異なる二つの中継地点をつなぎます。1つの機器で内部側用と外部側用の2つのインターフェースを持ったシステムです。コンピューターとネットワークをつなぐルーターの役割をしますが、デュアルホームはスクリーンホストと違って、通信自体を直接行わず、中継機のプロキシ(代理通信)から間接的に通信します。外部からくるIPパケットは、直接内部ネットワークに入ることがないため、 外部からの攻撃から内部ネットワークを保護することができるのです。スクリーンホスト構造よりコストはかかるものの、より強固なセキュリティが可能になります。
3.スクリーンサブネット構造
3つの構造の中で、もっとも一般的かつ効果的であると言われています。スクリーンホスト構造をもとに、より拡張させた構造といえるでしょう。スクリーンホスト構造では、1台の要塞ホスト(bastion host)が通信の中継点となり、 外部からの攻撃に対応するいう構造でした。そのため要塞ホストは、慎重な設計のもと、厳重なセキュリティを必要としていました。そして、万が一この一台が外部ネットワークからの侵入を防ぐことができず、攻撃されてしまった場合、内部ネットワークにも侵入されてしまうという欠点がありました。また、 内部ネットワークからの攻撃に弱いのもスクリーンホスト構造の欠点でした。対するスクリーンサブネット構造では、もう一台のスクリーニングルーターを用いて、内部ネットワークと外部ネットワークとの間に、境界ネットワーク(DMZ、非武装地帯)を設けることで、万が一要塞ホストが陥落しても、侵入を喰いとめるエリアを造り、内部ネットワークへの被害を阻止することが出来ます。ただ、内部と外部の両方の通信で二重にパケットをフィルタリングするために二台のルーター設置が必要になる分、構築に手間やコストがかかるという欠点があります。
ファイアウォールポリシーの設定
ファイアウォールポリシーとは、ファイアウォールに関する方針のことです。それに基づき適切な設定をすることで、ファイアウォールを最大限に活かしてセキュリティの強化を図ることが可能になります。そのためにも定期的な見直しも必要です。ファイアウォールポリシーに基づきウェブサイトの閲覧やメール送受信のためのTCP/IPプロトコル、アプリケーションTCP/UDPのポート番号、コンテンツタイプで必要なものだけに許可の設定をしておくとよいでしょう。アプリケーション識別ではポート番号だけでなくさらに詳細な設定も可能です。そして必要な通信以外のものはすべて遮断しておくことも重要なポイントです。
ファイアウォールのメリット
ここまでファイアウォールについて説明をしてきましたが、もしファイアウォールがなかったら、どうなるのでしょう。それはとても無防備な状態で、外部からの不正アクセスを受け入れ、情報の漏洩や改ざん、ウィルス感染の可能性などの危険にさらされることになります。それにより意図的ではなくても加害者になる恐れもあります。
ファイアウォールを導入することにより、ネットワークを監視して制御することが可能です。カスタマイズもできるフィルタリング機能によりパケットのアクセス制限も可能になります。
ファイアウォールの種類や機能を正しく理解することで、企業の規模に関わらず、幅広い環境で高いセキュリティ効果が見込めます。社外からの不正アクセスのみならず、社内ネットワーク内での不審な動きも探知してくれるため、抜け穴が少ないのもメリットの一つでしょう。ウィルス対策にも効果的です。自社の目的や予算に合わせて、フレキシブルに導入できるので、基礎的な導入ステップとして、もっとも最適といえるでしょう。
ファイアウォールのデメリット
ファイアウォールは、あくまでも基礎的な役割りを果たすもので、単独の利用だけでは不十分といえます。たとえば、通信やアクセスの異常を探知し防御しますが、ウイルスが含まれているかまで精査することができません。そのため、ウイルス対策は専用のセキュリティ製品が必要です。ファイアウォールが導入されていても、許可しているウェブサービスなどからマルウエアに感染する場合や、同じネットワーク内にいる別のユーザーのPCがマルウェア感染している場合は、内部ネットワーク全体が影響を受ける可能性があります。厳重なセキュリティ対策を見込んで、Windowsなど標準装備のファイアウォールと有料のセキュリティ対策ソフトのファイアウォールを併用しようとした場合、単純にセキュリティレベルが向上するわけではなく、干渉し合い、逆にレベルダウンする可能性が高く、その場合には標準装備のファイアウォールは無効化にしておく必要があります。他にもアクセスしている人間が盗品したPCからのアクセスになっていないか等、本当に自社の人間なのかを確認するために2段階認証や多要素認証が必要にもなります。また、ファイアウォールは常に通信を監視しているため、インターネットの動きが遅くなったり、パソコンの挙動が遅くなる原因としてファイアウォールが関わっている場合があります。
ファイアウォール無効化のデメリット
ファイアウォールを無効化にした場合の危険性は、ファイアウォールのメリットの裏返しにもなりますが、万全なセキュリティ体制が整っていない状態でファイアウォールを無効化にすると、パソコンが無法地帯に放り出されたようなとても危険な状態になります。他のセキュリティ対策ソフトの導入で、パソコンに標準装備のファイアウォールを無効化にすることにより導入したソフトの効果が発揮でき、無効化にしないことにより不具合が出たりするケースは多いですが、さまざまなスペックのソフトウェアがあり、ファイアウォールの機能が搭載されていないものもありますので、一概にすべてとは言えません。一部無効化にしない方が良い場合もあります。また、新しいプログラムをインストールする際に、ファイアウォールによって妨げられる場合もありますが、その場合には、インストールする際にだけファイアウォールを無効にし、作業終了次第すぐにファイアウォールを有効に戻すことを推奨します。従って、ファイウォールを無効化にするデメリット特にないと言えるでしょう。
⇒ファイアウォールのセキュリティ課題を解決するゼロトラストネットワーク。ゼロトラストの原理・原則や実現方法に関する資料を無料プレゼント中!
代表的なウィルス対策ソフト
- マカフィー
- カスペルスキー
- ESET
- ノートンセキュリティ
ファイアウォールの働きによって外部からの不正アクセスを遮断し、ウイルスソフトによってパソコン内部にあるウイルスの含まれるプログラムの実行を防ぐことにより、セキュリティ体制はより強固なものになります。たとえばメールの送受信はサーバーで管理されていて、パソコンで直接通信されているのではないため、外部との監視をするファイアウォールでは不正を見つけることができませんので、フィッシング詐欺やウイルスの含まれたメールの添付ファイルを見つけ出したり、ウエブサイトからダウンロードしたファイルに悪意あるプログラムが含まれていた場合など、被害が及ぶ前に駆除するウイルスソフトが必要となるわけです。
また、セキュリティを維持し続けるために、定期的なログの調査を行い、運用管理することが必須となります。ファイアウォールは、すべてのパケット通信がフィルタリングの対象となるため、設計時にトラフィック量の見積もりを誤ると、通信速度の低下の原因となります。さらに、なんらかの障害でファイアウォールが止まってしまうと、通信自体ができなくなり、業務に多大な影響が出てしまいます。そのため、運用や設定の際は慎重に、障害発生時の迅速な復旧対策が不可欠でしょう。
⇒テレワークでもセキュリティを強固にするゼロトラストネットワーク。ゼロトラストの原理・原則や実現方法に関する資料を無料プレゼント中!
