コンテンツ
ファイアウォールとは?外部からの不正アクセスを防ぐ防火壁です
「ファイアウォール」は、外部からの不正な侵入や、ネットワークに接続されたコンピュータから情報が漏洩しないように、ネットワークを監視するシステムや機器のことです。
外部のネットワークと内部のネットワークを結ぶ部分に導入され、適用されたルールに従って通信を行い、不正な動きがあった時はそれを遮断する働きをしています。
自社のネットワークを不正なアクセスやサイバー攻撃から守るために使われており、火災のときの「防火壁」になぞらえてそう呼ばれます。
webアプリケーションに特化したファイアウォールで不正なアクセスを防御する「WAF(わふ:Web Application Firewall)」や、ネットワークを監視して侵入を検知する「IDS(あいでぃーえす: Intrusion Detection System)」、不正アクセスを検知すると自動的に通信を遮断する「IPS(あいぴーえす:Intrusion Prevention System)」などと共に、ネットワークやサーバのサキュリティを守るために必要とされており、併用することが推奨されています。
ファイアウォールの必要性を理解しましょう!
「ファイアウォールって本当に必要なの?」と思う方もいるかもしれませんが、内部のネットワークを外部のネットワークに接続することが当たり前となった現在では、ネットワークに侵入されやすくなり、データを盗まれたり改ざんや攻撃がされる可能性が大きくなりました。
インターネットの最大の利点である公共性は、逆に最大の脅威ともなってしまいます。
そのため、外部からのアクセスから必要なものだけを許可し、機密を守る仕組みが必要となるのです。
もちろん、ファイアウォールを設置したからといって、それが完全なセキュリティ対策となるわけではありません。
しかし、外部のネットワークとの接続には常にリスクが伴います。
ファイアウォールを導入していなければ、外部からの不正なアクセスをすべて許可してしまうことになります。
セキュリティ対策の一つとしてファイアウォールは重要な役割をもっており、導入は必須といえるでしょう。
ファイアウォールの種類をご紹介
ファイアウォールには、通信の解析と制御の方法により、大きく分けて3つの種類があります。
パケットフィルタリング
通信をパケット(細分化されたデータのかたまり)単位で監視します。
通信を許可する送信元情報(IPアドレス・ポート)や宛先情報を、パケットごとにフィルタリングのルールとして設定でき、ルールに反した通信を遮断します。
柔軟な設定が可能で強力な制御ができますが、その反面で設定が難しくなり、セキュリティホール(設定ミスによる抜け穴)が生じやすいという欠点があります。
また、バッファオーバーフロー(データの記憶領域に想定以上の長さのデータが入力されてしまう現象。パケットを見ただけでは攻撃を判別できない)による攻撃や、ウイルスつきのEメールなどの攻撃を防ぐことはできません。
そのため、他のセキュリティと組み合わせて使う必要があります。
サーキットレベルゲートウェイ
パケットフィルタリングの進化版です。
従来の機能にポート制御機能を追加し、サーバごとに任意のポートを割り当てられるので、特定のアプリケーションやシステムを制御できます。
設定や管理が簡単にでき、パケットフィルタリングでは防げないような送信元IPアドレスの偽装を防ぐことができます。
アプリケーションゲートウェイ
HTTP・FTP・SMTPなどのアプリケーションプロトコル(ソフトウェアやサービスごとに個別に制定される通信規約)ごとに監視を行います。
パケットフィルタリングよりも仕組みがシンプルで、設定が簡単にできます。
より詳細に通信を制御することができ、なりすまし型の不正アクセスの防御に強いというメリットがありますが、一方でデータの中身まで解析するので通信の処理が遅く、構築するまでに高いコストがかかるというデメリットがあります。
ファイアウォールはどんな機能がある?仕組みを解説
ファイアウォールの機能には次のようなものがあります。
通信の許可と遮断
データの発信元や送信先情報をもとに、設定したルールに適合する通信のみアクセスを許可し、不正な通信は遮断します。
通信プロトコルに応じたポートの制御
ポートはコンピュータやサーバが通信を行うときの出入り口です。
ファイアウォールは通信プロトコルごとにどのポートを利用するか決め、使用しないポートは閉じることで不正なアクセスから防御します。
NAT(アドレス変換機能)
NAT(なっと:Network Address Translation)はIPアドレスを変換するしくみです。
IPアドレスはネットワークにアクセスする際に付与される固有のアドレスで、社内のコンピュータのIPアドレスが外部から識別されないようにアドレスを変換することができます。
監視と管理
ファイアウォールは、通信のログ(履歴)を記録し、追跡する機能を持ちます。
このログを管理することで、不正アクセスの追跡や利用状況を追うことが可能になり、不正なアクセスを未然に防いだり、いち早く検知することができます。
ファイアウォールはどんな時に無効にする?ファイアウォールの確認方法や無効にするやり方もチェック
ファイアウォールは専用のハードウェアを設置するほか、ソフトウェアをインストールしたり、実装されているネットワーク機器を使用することで導入します。
最近ではファイアウォールが最初から搭載されているパソコンが多くなりました。
ただし、パソコンへの不正なアクセスを防ぐ効果がありますが、ネットワーク全体を守るためにはやはりファイアウォールの導入が必要となります。
あらたにファイアウォールをパソコンにインストールする際、ファイアウォールが二重に設定されると干渉してセキュリティのレベルが低下する可能性があります。
そのため、パソコンのファイアウォール機能をオフにするよう指示されるかもしれません。
このような場合はパソコン側を無効に設定しましょう。
ファイアウォールの確認、設定方法はOSごとに異なりますが、「Windows10」であれば、最初に「スタート」から「Windowsシステム ツール」を選択してコントロールパネルを表示します。
次に「システムとセキュリティ」を選択した後、「ファイアウォールの状態の確認」を選択すると設定の確認ができます。
ここで左メニューの「Windows ファイアウォールの有効化または無効化」で有効/無効を切り替えられます。
社内ネットワークにファイアウォールを設置する場合は相互干渉はおきないので、ファイアウォール機能は有効にしておくのがよいでしょう。
ファイアウォールのおすすめソフトウェア4選!
おすすめのファイアウォールを紹介します。
Untangle
「Untangle」はウェアポータル株式会社のUTM(Unified Threat Management・統合セキュリティ)です。
リアルタイムでログ管理ができ、サイバー脅威分析により未知の脅威からネットワークやシステムを保護できます。
また、リモートで導入機器を一元管理でき、既存のファイアウォールに加えて導入することができます。
シンプルな管理画面で扱いやすく、IT担当者でなくても管理、運用しやすいと評価されています。
ビジネスセキュリティ(VSR)
株式会社USEN ICT Solutionsの「ビジネスセキュリティ(VSR)」は、専門機器をレンタルで導入し、さらに数多くのセキュリティ機能から必要な機能を自由に選んで組み合わせることができるUTMです。
ログの自動解析も可能で、サポート体制が充実しているので安心して使用できます。
FortiGate
「FortiGate」は、フォーティネットジャパン株式会社の次世代ファイアウォールで、中規模から大規模なネットワークまで幅広く対応できます。
専用の技術を活用したセキュリティ対策が可能で、暗号化された情報の解析ができ、優れたパフォーマンスが期待できます。
また、監査の自動化によりセキュリティ担当者の負担を軽減することができます。
次世代ファイアウォール
パロアルトネットワークス株式会社の「次世代ファイアウォール」は、機械学習を利用したUTM製品です。
多機能なファイアウォールでネットワークを守ることができ、海外からの専門調査機関からも高い評価を受けています。
中規模のネットワークで多く導入されています。
ファイアウォールはネットワークセキュリティ対策の基本であり、社内のネットワークを外部からの脅威から守るため、必要な対策です。
初期のファイアウォールは不審なIPアドレスからの通信を制御するだけのものでしたが、近年のサイバー攻撃などの脅威が増大したことに伴い、進化し高機能化してきました。
とはいえ、ますます多様化するサイバー攻撃への対策としては不十分です。
自社にとってどのような機能が必要なのか、どのくらいコストがかけられるのかをふまえ、WAFやIDS/IPSといった他のセキュリティツールを組み合わせて、より高いセキュリティ対策ができるように導入を検討することをおすすめします。
セキュリティに強いシステム会社とは
ファイアーウォールについてについて解説いたしました。システムを構築する上で、セキュリティ対策は手を抜けない項目です。
なお、セキュリティ対策を考慮したシステムの構築は、経験のあるシステム会社にお任せするのがオススメです。株式会社Samuraiでは、セキュリティを考慮したシステム構築のご相談が可能です。お気軽にご連絡ください。
この記事を書いた人