富士フイルムビジネスイノベーション
ホーム ソリューション 中堅・中小企業のDX推進コラム ITセキュリティーコラム:ファイアウォールとは?機能や仕組み、弱点を補うセキュリティーツールなどを紹介

ファイアウォールとは、社内ネットワークの外側や公開サーバーの内側に配置し、不正アクセスの侵入を防ぐセキュリティーツールです。ポート番号やプロトコルなどの情報を解析し、解析結果にもとづいてアクセスを許可するかどうか、判断を下します。

本記事では、ファイアウォールの機能や仕組み、弱点を補うセキュリティーツールなどを紹介します。不正アクセスの対策強化に取り組んでいる方は、最後までご覧ください。

目次

ファイアウォールとは

ファイアウォールの仕組みと種類

パケットフィルタリング

パケットフィルタリングとは、通信データを「パケット」と呼ばれる単位に分割し、パケットの先にあるヘッダを解析して通信の許可・拒否を判断する仕組みです。ヘッダには送信元と送信先のIPアドレス、ポート番号などの情報が記録されています。

ヘッダの解析情報と自社が事前に設定したルールを照らし合わせ、通信を許可するかどうか、判断します。パケットフィルタリングは、通信を判断する仕組みがシンプルで、高速な処理を維持しやすい点が特徴です。

一方、通信の許可を判断する際、パケットの中身までは確認しません。IPアドレスをはじめ、パケットが偽装されている場合は検知できず、ほかのセキュリティー対策と併用する必要があります。

サーキットゲートウェイ

サーキットゲートウェイとは、パケットフィルタリングにポート指定や制御などを搭載した仕組みです。ポート指定や制御の働きで、送信元のIPアドレスが偽装されていた場合も見破れるようになります。

サーキットゲートウェイは、アプリケーションやソフトウェア単位で設定できるため、比較的運用や設定の負担が小さい点も魅力です。

ただし、場合によってはクライアント側にも専用ソフトのインストールが必要になるケースがあるため、事前に確認をしておく必要があります。

アプリケーションレベルゲートウェイ

アプリケーションレベルゲートウェイとはHTTPやFTPなど、プロトコルごとに通信内容を深く
解析する仕組みです。プロトコルは、パソコンで相手とスムーズにデータのやり取りを行えるよう、送受信の手順やデータなどを定めたルールです。

アプリケーションレベルゲートウェイでは、従業員の使用するパソコンではなく、プロキシ(代理)サーバーが外部ネットワークとデータのやり取りを行います。

プロキシサーバーがデータの中身を細かく解析するため、なりすましによる不正アクセスを防げる確率が高まります。

ただし、一つひとつのデータを細かく検査・解析する分、通信速度の低下を招きやすい点がデメリットです。また、ファイアウォールでの設定が複雑になるため、運用にはセキュリティーやネットワーク関連の知識が求められます。

ファイアウォールの設置場所・方法

社内ネットワークの外側

社内ネットワークの外側にファイアウォールを設置し、不正アクセスの侵入を防ぐ方法です。外部からのアクセスはすべてファイアウォールを経由するため、不正アクセスを検知・ブロックできる確率が高まります。

また、社内からWebサーバーやメールサーバーなどの公開サーバーにアクセスがしやすく、業務への支障が生じにくい点もメリットです。ただし、公開サーバーがサイバー攻撃の被害に遭った際、ネットワーク全体に被害が及ぶおそれが高まります。

被害を防ぐにはログデータを参考に、ファイアウォールの設定内容やネットワーク構成を見直し、社内へ侵入しにくい環境を整備することが重要です。

公開サーバーの内側

Webサーバーやメールサーバーなど、公開サーバーの内側にファイアウォールを設置する方法です。仮に公開サーバーへの不正アクセスを許しても、社内ネットワークへの侵入を防げるため、被害範囲を最小限に抑えられる点がメリットです。

ただし、公開サーバーがサイバー攻撃の被害に遭った際、サーバーに保存している
機密情報が漏えいするリスクが高まります。情報漏えいのリスクを減らすには、アクセス制限やログデータの取得などを行い、攻撃者が機密情報を閲覧しにくい環境を整えることが必要です。

また、脆弱性診断ツールやWAFなど、ファイアウォール以外のセキュリティーツールも必要に応じて導入し、安全性の強化に努めます。

2台配置してDMZ(非武装地帯)を設置

社内ネットワークの外側、公開サーバーの内側にファイアウォールを設置し、DMZ(非武装地帯)と呼ばれる領域を作る方法です。公開サーバーは、2台のファイアウォールに挟まれるかたちとなります。

DMZを設置する方法は外部からのアクセスが多いシステム、機密情報が多く保存されたサーバーを分離できるため、利便性と安全性の両立が望めます。

また、1台目のファイアウォールを突破されても、2台目で不正アクセスを検知・ブロックできれば、社内ネットワークに被害は及びません。

ただし、ファイアウォールの管理や設定内容が複雑になる分、セキュリティーに精通した人材の確保が必要です。専門知識をもつ人材が豊富な大企業向けの方法といえます。

ファイアウォールの機能

フィルタリング

フィルタリングとは通信内容と事前に設定したルールを照らし合わせ、社内ネットワークへのアクセスを許可するかどうか、判断する機能です。

IPアドレスやポート番号、プロトコルなどから通信の許可・拒否を判断し、ファイアウォールの仕組みによっては、偽装されたIPアドレスを検知できます。

フィルタリングの働きで、攻撃者からの不正アクセスやスパムメールの被害などを防ぎ、社内ネットワークの安全性を強化します。

IPアドレス変換

IPアドレス変換とは、プライベートIPアドレスをグローバルIPアドレスへ変換する機能です。IPアドレスはスマートフォンやパソコンなど、インターネット上でデータをやり取りするために割り当てられる住所のような役割です。

プライベートIPアドレスは社内ネットワークで使い、グローバルIPアドレスはインターネットで使用します。IPアドレス変換機能によって、プライベートIPアドレスが外部の攻撃者に識別される事態を防ぎ、不正アクセスによる機密情報の流出リスクを軽減できます。

ログデータの取得・監視

ログデータの取得・監視は、ファイアウォールを通過する通信を24時間365日体制で監視し、記録する機能です。不正アクセスの兆候を検知した際は管理者にアラートを発し、素早い対応を促します。

ログデータには送信元と送信先のIPアドレス、通信結果などが記録されており、記録された内容からセキュリティー対策の課題を可視化できます。

ファイアウォールの設定内容見直し、新たなセキュリティーツールの導入など、今後の対策を立てやすくなる点が魅力です。

また、ファイアウォールによっては、遠隔でログデータの取得・監視に対応しており、システム担当者が不在でも不正アクセスの有無を検知できます。

ファイアウォールで防げる攻撃・防げない攻撃

防げる攻撃

ファイアウォールで防げる攻撃は主に以下の3つです。

  • 不審なポートを使った不正アクセス
  • IPアドレスを偽装した不正アクセス
  • DDoS攻撃の一部

フィルタリングの働きで、ヘッダの解析情報で不審な点が見つかった場合、不正アクセスを検知します。また、DDoS攻撃の一種であるフラッド攻撃も、ファイアウォールで防げるため、サーバーダウンの発生を防ぎやすくなります。

ただし、大量のボットを使った大規模なDDoS攻撃には対応できません。DDoS攻撃とは複数のパソコンを悪用し、サーバーに大量のデータを送信する攻撃です。

大量のデータ処理でファイアウォールやサーバーに必要以上の負荷がかかり、速度遅延や通信障害が発生するおそれが高まります。

ファイアウォールだけでは一部の不正アクセスやDDoS攻撃にしか対応できないため、安全性の強化にはほかのセキュリティーツールの導入や対策が必要になります。

防げない攻撃

ファイアウォールで防げない主な攻撃は以下の3つです。

  • Webアプリケーションの脆弱性を突く攻撃
  • ファイアウォールの弱点を突くサイバー攻撃
  • DMZにおけるマルウェア侵入

Webアプリケーションの脆弱性とは、設計ミスやプログラムの不具合などが原因で生じるセキュリティー上の欠陥です。脆弱性を放置すると攻撃者のターゲットにされやすくなり、機密情報の流出やシステムダウンなど、大規模な被害に遭う確率が高まります。

ファイアウォールは、社内ネットワークへの不正アクセスを検知するのが役割で、Webアプリケーションの脆弱性を突く攻撃全般には対応していません。

さらに、ファイアウォール自体の弱点を狙った攻撃には対処できない場合があります。たとえば、パケットフィルタリングはパケットのヘッダを解析し、送信元や送信先のIPアドレス、ポート番号などが問題なければ、アクセスを許可します。

そのため、ヘッダ情報さえ条件を満たしていれば、マルウェアが潜んでいても、社内ネットワークへの侵入を許すことになります。

そして、DMZでは一般のユーザーからのアクセスを受け付けられるよう、セキュリティーポリシーを設定する必要があります。利便性と安全性の両立が必要なため、設定次第では高い安全性を確保しにくいことがあります。

DMZへマルウェアや不正アクセスを許した場合、ネットワーク全体へ被害が拡大する可能性が高まります。

ファイアウォールの弱点を補うセキュリティーツール

次世代ファイアウォール(NGFW)

次世代ファイアウォール(NGFW)とは、従来型よりも多くの脅威に対応可能なファイアウォールです。主な搭載機能は以下のとおりです。

機能の種類

概要

主に防げる脅威

アプリケーションの制御

・通信の暗号化やポート番号などを問わず、アプリケーションを識別

・特定のアプリケーションの利用を禁止または制限

・マルウェア感染

・フィッシング詐欺

IPS/IDS

・ネットワーク上の通信をリアルタイムで監視

・不正アクセスやサイバー攻撃を防止

・マルウェア感染

・バッファオーバーフロー

・DDoS攻撃

・SYNフラッド攻撃

URLフィルタリング

業務に関係ないサイトへのアクセスを禁止

・マルウェア感染

・フィッシング詐欺

マルウェアの検知・駆除

マルウェアのネットワーク侵入を阻止

・ウイルス

・ワーム

・スパイウェア

・ランサムウェア

ディープパケットインスペクション

・通常はチェックしない部分までデータの内容を解析

・解析結果に応じて、パケットの許可とブロックを判断

・マルウェア感染

・フィッシング詐欺

・スパムメール

・DoS攻撃

脅威インテリジェンス

・サイバー攻撃の手法や能力、設備などの情報を収集し、自動で分析

・高度なサイバー攻撃に対応

・ゼロデイ攻撃

・標的型攻撃

・ランサムウェア

・未知のマルウェア

次世代ファイアウォールは従来型と異なり、アプリケーションの通信内容を可視化・制御できる点が特徴です。アプリケーションの利用状況を可視化し、制限や禁止の判断を下すことで、脆弱性攻撃の脅威を軽減できます。

ほかにもディープパケットインスペクションや脅威インテリジェンスなどの働きで、多くのサイバー攻撃やマルウェアに対応できます。

WAF

WAFの導入で、ファイアウォールでは対応できないWebアプリケーションの脆弱性を突いた攻撃を防げるようになります。

WAF(Web Application and API Protection)とは、Webアプリケーションの保護に特化したセキュリティーツールです。対応可能な主なサイバー攻撃は以下のとおりです。

  • DDoS攻撃
  • SQLインジェクション
  • クロスサイトスクリプティング
  • OSコマンドインジェクション
  • パスワードリスト攻撃
  • バッファオーバーフロー

WAFは事前に通信パターンを登録したシグネチャを活用し、Webアプリケーションへのアクセスを許可するかどうか、判断します。シグネチャには不正アクセスの傾向を記録しておくケース、アクセスの許可を下す内容だけを記録するケース、2種類に分けられます。

クラウド型であればシグネチャの内容が自動で更新されるため、手作業で見直しを行う必要はありません。

また、ログ・レポート機能の搭載で、攻撃の種類や攻撃対象、日時などが可視化され、早急に対策が必要なWebアプリケーションを把握できます。

脆弱性診断ツール

脆弱性診断ツールとは、システムやソフトウェア、Webアプリケーションなどに疑似的な攻撃を仕掛け、脆弱性の有無を診断するツールです。攻撃者の視点に立って疑似的な攻撃を仕掛けるため、多大な損害につながる脆弱性を見つけやすくなります。

診断結果からは脆弱性の種類や深刻度、侵入経路などを把握できるため、今後強化すべきセキュリティー対策の方向性が明確になります。

また、脆弱性診断ツールは自動で診断を進めるため、担当者の負担やコストを削減できる点も魅力です。人間が行うと数日かかる作業が、対象範囲によっては最短数十分ほどで作業が完了します。

ツールによって診断対象や検査項目、月額料金などが異なるため、事前に特徴や違いを理解したうえで、選定に臨むことが重要です。

まとめ
セキュリティーソリューションを見る
お問い合わせ