fbpx

ファイアウォールとは?メリット・デメリットや仕組み・種類を解説!

個人情報の漏洩やWebサイトの情報改ざんのリスクは、会社の規模に関わらず、すべての企業が持つ課題です。損害賠償や社会的信用の損失など大きな問題にも繋がりかねず、万全なセキュリティュ対策を行うことが必要不可欠です。

ファイアウォールとは

会社の規模や保護対象によって様々なオプションがありますが、まずは基本となるセキュリティシステムがファイアウォール(Firewall)です。ファイアウォールは、「防火壁」というその名のごとく、外部と内部のネットワークの境界線で異常を監視し、未然に侵入を防ぐ役割をはたします。ファイアウォールの仕組みや種類を正しく理解することで、自社にとって必要な対策方法の検討を始めましょう。

ファイアウォールの仕組み

コンピューターには、ポートという通信の出入口があります。ポートはコンピューターやサーバーごとに0から65535番まであり、ソフトウェアごとに特定のポートを開いて通信します。制御したいポートを設定することで、不正な通信がブロックできる仕組みです。ファイアウォールは、いわば外部ネットワークと社内ネットワークの間の“壁”の役割をはたします。ファイアウォールの種類によって、この壁の位置や防御の方法が異なります。主な機能は3つあり、利用側の環境に合わせて使い分けることで、セキュリティの強化が可能になります。

パケットフィルタリング型 通信を許可するIPを事前に設定し、許可のないIPをシャットダウンする一般的なセキュリティ対策方法。
アプリケーションゲートウェイ型 アクセスの詳細まで細かくチェックすることで、「なりすまし」型の不正アクセスを防御することが可能。
サーキットレベルゲートウェイ型 通信を許可するIPだけでなく、ポートや制御を選択することができる。特定のシステムやソフトウェアにだけ制御をかけることが可能。

WEBアプリケーションファイアウォール(WAF)とは関係あるの?違いは?

近年、より巧妙な手法で企業の情報やデータを狙う犯罪が増えてきています。Webサイトの脆弱性を狙った攻撃に対して、ファイアウォールだけでは防ぎきれないケースがあるのです。こうしたWebサイトの脆弱性は、プログラム作成時の不備によるアプリケーションの誤作動や、サーバーの設定、運営するデータやコンテンツ管理の設定などが原因となります。そこで、より万全な対策として併用したいのがWEBアプリケーションファイアウォール(WAF)です。ファイアウォールとWAFは、保護する対象と防御できる攻撃の種類が異なります。したがって、両方を併用することで、より強固なセキュリティが実現可能になります。

保護対象 防御する攻撃

保護対象 防御する攻撃
ファイアウォール 社内ネットワーク 標的型攻撃、マルウェア感染、ネットワークのアクセス制御を超える攻撃
WAF  公開ウェブサーバ SQLインジェクション、クロスサイトスクリプティング、パスワードリスト攻撃

ファイアウォールは、すべての攻撃を防げるものではありません。インストールしているソフトウェアが多ければ多いほど、脆弱性を持つ可能性が高まり、攻撃を受けるリスも高まるということを覚えておきましょう。

ファイアウォールの種類

ソフトウェア

ソフトウェア型のファイアウォールは、Windows7以降のOSが搭載されたパソコンには、「Windowsファイアウォール」としてあらかじめ組み込まれています。この種類のファイアウォールは、「パーソナル型」ともよばれ、パソコンやサーバ1台ごとにインストールして利用します。インターネット上の不正な通信がパソコンに侵入することを防ぐ役割をはたします。どのソフトウェアを選ぶかは、それぞれのパソコンとの相性もあります。ほとんどの有料ソフトは、無料の体験版が公開されているので、購入前に一度試してから見極めるとよいでしょう。

代表的な有料ソフト

Symantec Endpoint Protection 株式会社シマンテック 脅威の予防、検出、対応と、ディセプション、適応の機能を備えた最先端のセキュリティソフト
FortiGate フォーティネットジャパン株式会社 専用のセキュリティプロセッサとFortiGuard Labsの脅威インテリジェンスセキュリティサービスを活用
Sophos XG Firewall ソフォス株式会社 ネットワーク上の感染元を特定し、他のリソースへのアクセスを自動的に制限して対処することが可能
パロアルトネットワークス 次世代ファイアウォール パロアルトネットワークス株式会社 アプライアンス製品を中心とした次世代ファイアウォール

ハードウェア

ハードウェア型のファイアウォールは、外部ネットワークと内部ネットワークの間に設置されるルータに搭載され「ゲートウェイ型」ともよばれます。ソフトウェア型と異なり、社内ネットワークを保護することで、一度に複数のコンピューターを対象に保護することが可能です。ただ、企業においては、一台のコンピューターがなんらかの攻撃を受けてしまった場合、社内全体のネットワークに影響が出てしまうため、それぞれのコンピューターを守るソフトウェアとの併用が欠かせません。

フリーウェア

通常、最新のパソコンであれば、ファイアウォールがプリセットされていますが、旧式のパソコンを使っている場合や既存のソフトウェアが使いづらい場合など、無料のソフトウェアをインストールすることが可能です。ただ、フリーウェアは、あくまでも簡易的なセキュリティ保護機能のみ提供されるものなので、個人用パソコンであってもセキュリティ対策としては万全でないことを覚えておきましょう。

代表的なフリーソフト

ZoneAlarm Free Firewall 安定した性能でもっとも基本的なフリーソフト
Windows 10 Firewall Control Windows 標準の”Windows ファイアウォール”の管理に最適なソフト
Privatefirewall マルウェア、ハッキング、フィッシング、その他の脅威からパソコンの安全を守るファイアウォールソフト

ファイアウォールを設置する

社内でファイアウォールを設置する場合、社内ネットワークを保護するだけでなく、社外ネットワーク(公開ネットワーク)へのリスクも考慮する必要があります。社内ネットワークと社外ネットワークの両方をファイアウォール内におさめた場合、万が一社外ネットワークに異常があった場合、社内ネットワークにも影響が出てしまいます。一方で、社内ネットワークのみファイアウォール内におさめた場合、社外情報として公開ネットワークにおかれている情報が危険にさらされてしまいます。そこで、いちばんリスクが低い方法は、ファイアウォールを2台設置する方法です。社外ネットワーク用と社内ネットワークを分けて設置し、2台のファイアウォールで守られたエリア(DMZ、非武装地帯)に、外部公開サーバーを置くことで、安全かつアクセスしやすい環境をつくることできるのです。以上の具体的な構築方法は、次の導入方法で説明しています。

ファイアウォールの導入方法

ファイアウォールを導入するにあたり、まずは正しい設計が重要になります。社内のセキュリティ環境において、現状の把握と課題を棚卸することで、必要な設計が決まります。下の3つのステップを検討し、導入に備えましょう。

  1. 社内のセキュリティ体制と保護対象において、現状把握と課題の棚卸
  2. セキュリティポリシーの構築
  3. 許可する通信とアクセスの定義化

以上が明確になったら、具体的な構築方法を検討しましょう。ファイアウォールを導入する際、検討可能な構築方法は3つあります。

1.スクリーンホスト構造

スクリーニングルーターと要塞ホスト(bastion host)からなる構築方法です。要塞ホストとは、ファイアウォールで強力に保護されたコンピューターのことで、ファイアウォールの外側のネットワークから直接アクセスされる唯一の ホストです。
外部からの通信は、パケットをスクリーニングルーターでフィルタリングし、要塞ホストによって破棄するか判別します。内部からの通信は、一度要塞ホストを通り、スクリーニングルーターから外部へつなぎます。中継地点である要塞ホストは、外部から見える位置にあり、攻撃の対象になりやすいです。要塞ホストが攻撃されれば内部への侵入が可能になるため、厳重なセキュリティが必要になります。

2.デュアルホーム構造

「デュアル」は、「二つの」という意味があるように、この構造は外部と内部のネットワークに、異なる二つの中継地点をつなぎます。コンピューターとネットワークをつなぐルーターの役割をしますが、デュアルホームはスクリーンホストと違って、通信自体を直接行わず、中継機のプロキシ(代理通信)から間接的に通信します。外部からくるIPパケットは、直接内部ネットワークに入ることがないため、 外部からの攻撃から内部ネットワークを保護することができるのです。スクリーンホスト構造よりコストはかかるものの、より強固なセキュリティが可能になります。

3.スクリーンサブネット構造

3つの構造の中で、もっとも一般的かつ効果的であると言われています。スクリーンホスト構造をもとに、より拡張させた構造といえるでしょう。スクリーンホスト構造では、1台の要塞ホスト(bastion host)が通信の中継点となり、 外部からの攻撃に対応するいう構造でした。そのため要塞ホストは、慎重な設計のもと、厳重なセキュリティを必要としていました。そして、万が一この一台が外部ネットワークからの侵入を防ぐことができず、攻撃されてしまった場合、内部ネットワークにも侵入されてしまうという欠点がありました。また、 内部ネットワークからの攻撃に弱いのもスクリーンホスト構造の欠点でした。対するスクリーンサブネット構造では、もう一台のスクリーニングルーターを用いて、内部ネットワークと外部ネットワークとの間に、境界ネットワーク(DMZ、非武装地帯)を設けることで、万が一要塞ホストが陥落しても、侵入を喰いとめるエリアを造り、内部ネットワークへの被害を阻止することが出来ます。ただ、二台のルーター設置が必要になる分、構築に手間やコストがかかるという欠点があります。

ファイアウォールのメリット

ファイアウォールの種類や機能を正しく理解することで、企業の規模に関わらず、幅広い環境で高いセキュリティ効果が見込めます。社外からの不正アクセスのみならず、社内ネットワーク内での不審な動きも探知してくれるため、抜け穴が少ないのもメリットの一つでしょう。自社の目的や予算に合わせて、フレキシブルに導入できるので、基礎的な導入ステップとして、もっとも最適といえるでしょう。

ファイアウォールのデメリット

ファイアウォールは、あくまでも基礎的な役割りを果たすもので、単独の利用だけでは不十分といえます。たとえば、通信やアクセスの異常を探知し防御しますが、ウイルスが含まれているかまで精査することができません。そのため、ウイルス対策は専用のセキュリティ製品が必要です。他にもアクセスしている人間が盗品したPCからのアクセスになっていないか等、本当に自社の人間なのかを確認するに2段階認証や多要素認証が必要にもなります。

代表的なウィルス対策ソフト

  • マカフィー
  • カスペルスキー
  • ESET
  • ノートンセキュリティ

また、セキュリティを維持し続けるために、定期的なログの調査を行い、運用管理することが必須となります。ファイアウォールは、すべてのパケット通信がフィルタリングの対象となるため、設計時にトラフィック量の見積もりを誤ると、通信速度の低下の原因となります。さらに、なんらかの障害でファイアウォールが止まってしまうと、通信自体ができなくなり、業務に多大な影響が出てしまいます。そのため、運用や設定の際は慎重に、障害発生時の迅速な復旧対策が不可欠でしょう。

SNSでもご購読できます。