Introduction
社内ネットワークを構築する際に、ファイアウォールは必要不可欠なネットワーク機器です。ファイアウォールとはどのような仕組みなのか、どのように使うのかを知りたい人も多いでしょう。
この記事では、ファイアウォールの機能や種類、ファイアウォール以外のセキュリティ対策について解説します。
目次
ファイアウォールとは
ファイアウォールとは、社内ネットワークなどの防護壁にあたるもので、セキュリティ対策のために必要不可欠なネットワーク機器です。ここでは、ファイアウォールについて詳しく解説します。
攻撃や不正アクセスから守るためのソフトウェア・ハードウェアのこと
ファイアウォールとは、守るべきネットワークと外部との接点において、設定されたルールに従って通信を通すか否かを判断し、必要に応じて拒否する仕組みのことです。ファイアウォールは、もともと「防火壁」という意味の言葉で、ITの世界ではネットワークなどの防火壁の役割を果たします。
総務省の『国民のためのサイバーセキュリティサイト』によると、ファイアウォールは以下のように定義されています。
ファイアウォール
外部のネットワークからの攻撃や、不正なアクセスから自分たちのネットワークやコンピュータを防御するためのソフトウェアやハードウェア
ファイアウォールは、外部から送られてくる通信を判別し、通過を許可するか拒否するかを判断します。不正アクセスを検出したら、拒否して管理者に通報する仕組みです。
「パーソナルファイアウォール」と「ネットワーク用ファイアウォール」
ファイアウォールには、パーソナルファイアウォールとネットワーク用ファイアウォールの2種類があります。
・パーソナルファイアウォール
パーソナルファイアウォールは、パソコンを保護するファイアウォールです。OSに標準的に搭載されている製品もありますが、別にインストールする場合もあります。
・ネットワーク用ファイアウォール
社内ネットワークなど、ネットワーク全体を保護するためのファイアウォールです。従来は、ネットワークとインターネット回線の間に、専用の機器を設置するタイプが主流でした。現在では、クラウドサービスのファイアウォールも登場しています。
ファイアウォールの重要性
ファイアウォールはセキュリティを確保するために、許可された通信だけを通す仕組みです。また通信ログを監視し、不正なアクセスを検知する仕組みもあります。
ファイアウォールを導入しないと、安全でない通信もネットワーク内に入り込めるようになり、セキュリティのリスクがあがります。また、不正アクセスが発生しても検知できません。
そのため、社内ネットワークなどにファイアウォールを導入しないと、セキュリティのリスクが大幅に高まってしまうでしょう。
ファイアウォールの種類
ファイアウォールでは、通信を許可するか拒否するかを「フィルタリング」と呼ばれる技術で実現しています。フィルタリングには以下のような3つのタイプがあり、それぞれフィルタリングの仕組みが異なるのが特徴です。
ネットワークの標準規格であるOSI参照モデルの階層における、以下のような各階層に対応した領域で、それぞれフィルタリングを行います。
OSI参照モデル | フィルタリングタイプごとのファイアウォールの対応領域 | ||
7層 アプリケーション層 | アプリケーションゲートウェイ型 | ||
6層 プレゼンテーション層 | |||
5層 セッション層 | |||
4層 トランスポート層 | パケットフィルタリング型 | サーキットレベルゲートウェイ型 | |
3層 ネットワーク層 | |||
2層 データリンク層 | |||
1層 物理層 |
ここでは、それぞれのフィルタリングタイプについてご説明します。
パケットフィルタリング型
インターネット上では、パケットと呼ばれるデータがやりとりされています。パケットフィルタリング型では、このパケットのヘッダ部分を解析して、通過させるか拒否するかを判断します。ヘッダ部分には、送信元と宛先のIPアドレス、オプション情報などが格納されており、これらの情報をもとに判断する仕組みです。
フィルタリングルールを柔軟に設定できますが、許可するパケット以外をすべて拒否してしまうなどの設定ミスも起きやすいので、注意が必要です。
アプリケーションゲートウェイ型
Webサイトのコンテンツ、メールの文面などに含まれるURL、テキストなどの情報を判断して、フィルタリング設定ができます。たとえば、危険なサイトやスパムメールで利用されるメールサーバーなどのURLをブラックリスト化しておくと、遮断することが可能です。
フィルタリングルールを柔軟に設定でき、なりすまし型の不正アクセスの防御に強いといえます。その反面、設定が細かくなりすぎることも多く、データの中身を解析するための処理が遅くなりがちです。
サーキットレベルゲートウェイ型
TCPやUDPなど、OSI参照モデルの第4層のトランスポート層で、フィルタリング制御する方法です。パケットフィルタリング型を進化させたタイプで、ポートによる指定や制御も可能です。
ルールの設定が簡単で、アプリケーションやシステムごとの制御をしたい場合に向いています。
ファイアウォールの機能
ファイアウォールに搭載されている機能には、どのようなものがあるのかをご説明します。
フィルタリング機能
あらかじめルールを設定しておき、通信を制御するフィルタリング機能があります。この機能により、特定の通信を許可するか拒否するかを設定することが可能です。
特定のIPアドレスからの通信や危険なサイト、スパムメールなどのアクセスを遮断するなど、フィルタリングルールを設定できます。設定したルールに沿って社内ネットワークなどへのアクセスを制御でき、ネットワークを守ることが可能です。
IPアドレス変換機能
インターネットを接続する際に、使用するIPアドレスを変換する機能です。「NAT(Network Address Translation)」と呼ばれることもあります。
IPアドレスには、以下の2種類があります。
・プライベートIPアドレス
企業や組織のネットワークに接続した機器に割り当てられたIPアドレス
・グローバルIPアドレス
外部から識別できるIPアドレス
アドレス変換機能により、プライベートIPアドレスと、グローバルIPアドレスの変換を行います。この機能により、企業や組織内のプライベートIPアドレスが外部に識別されないようにでき、セキュリティ対策につながります。
遠隔操作・ログ監視機能
ファイアウォールの遠隔操作機能、ログ監視機能により、社内にいなくても24時間365日ネットワークを監視できます。
遠隔操作機能を利用すれば、セキュリティ担当者が別の場所にいても、ログの取得、閲覧、設定の変更、ソフトウェアアップデート作業などが可能です。また、外部から不正アクセスを受けた際には、検知して管理者に通知する機能もあります。そのため、問題が発生した場合にも、迅速に担当者が対応できます。
ファイアウォールの設置パターン
ファイアウォールを設置する場所は、いくつかのパターンが考えられます。
設置パターンを検討する際にむずかしいのは、Webサーバーやメールサーバーなど、外部に公開する必要があるサーバーの扱いです。ここでは、非公開の社内ネットワーク、Webサーバーやメールサーバーなどの公開サーバー、ファイアウォールの位置関係について考えます。
ここでは、それぞれの設置パターンについて、メリット、デメリットをご説明します。
社内ネットワークをファイアウォールの内側に置く
社内ネットワークなど、ファイアウォールで守りたいネットワークの内側に、ファイアウォールを置くパターンです。Webサーバーやメールサーバーなどの公開サーバーも、ファイアウォールの内側に設置します。
この場合、社内からWebサーバーやメールサーバーに、アクセスしやすいというメリットがあります。しかし、公開サーバーにサイバー攻撃をしかけられて侵入された場合などに、社内ネットワークに被害がおよぶ可能性もあるので、注意が必要です。
公開サーバー以外をファイアウォールの内側に置く
Webサーバーやメールサーバーなどの公開サーバーをファイアウォールの外側に置き、それ以外を内側に置くパターンです。
この場合、公開サーバーが侵入者によって攻撃されても、社内ネットワークを守れるメリットがあります。しかし、公開サーバーの個人情報や機密情報が流出してしまう危険があるので、別途セキュリティ対策が必要です。
ファイアウォールを2台設置してDMZをつくる
社内ネットワークを守るファイアウォールを置き、その外側に公開サーバーと、もう1台のファイアウォールを置くパターンもあります。2台のファイアウォールの間は、DMZ(非武装地帯)と呼ばれます。
この方法なら、公開サーバーに侵入されても社内ネットワークを守れるうえ、社内から公開サーバーにアクセスしやすいです。ファイアウォールが2台あることで管理の手間が増えますが、使い勝手のよさとセキュリティレベルの高さを両立できるでしょう。
ファイアウォール以外にも必要なセキュリティ対策
ファイアウォールは、社内ネットワークを守るために必要不可欠なものですが、それ以外にも対策が必要です。ファイアウォールで、セキュリティの脅威を完全に防げるわけではありません。ファイアウォールによって、ネットワークの入口で通信を監視する以外にも、必要なセキュリティ対策があるのです。
ここでは、社内の資産を守るために必要なセキュリティ対策について、ご説明します。社内のセキュリティ対策の強化を検討している場合は、ぜひ参考にしてみてください。
セキュリティシステム・セキュリティソフトの導入
セキュリティシステムやセキュリティソフトの導入は、不正アクセスやウィルス感染などの脅威を防ぐために有効な手段です。たとえば、IDS、IPS、WAFなどのセキュリティシステムがあります。
IDSとは、不正侵入検知システムのことで、不正なアクセスを振りわけて検知してくれます。IPSとは、不正アクセスからネットワークなどを防御するシステムです。IDSは不正なアクセスを検知するのみですが、IPSは防御することも可能です。WAFは、Webアプリケーションの脆弱性に対する攻撃を防ぐことに特化した、セキュリティ対策を指します。
また、セキュリティソフトの導入は、パソコン機器などをセキュリティの脅威から守るために有効です。たとえば、メールが社内に届いて、そのメールにフィッシングサイトのURLが記載されていることもあります。ファイアウォールでは、このようなセキュリティの脅威を防げません。ファイアウォールをかいくぐって侵入する攻撃手段もあるため、多重の対策が求められているのです。
セキュリティ診断
セキュリティ診断とは、サーバー機器やネットワーク、アプリケーションなどの脆弱性を検出するサービスのことです。そのため、セキュリティ診断は脆弱性診断とも呼ばれます。
OSやミドルウェア、Webアプリケーションなどには、セキュリティ上の欠陥がひそんでいることがあります。悪意ある攻撃者は、このような脆弱性を狙ってサイバー攻撃をしかけてくるので、日ごろから脆弱性の存在を把握して対処しておかなければなりません。
▽あわせて読みたい▽
>>脆弱性とは?その種類や放置する危険性、正しいセキュリティ対策について解説のページへ
>>脆弱性診断とは?診断の種類や必要な理由、やり方やツールについても解説のページへ
>>脆弱性診断の適切な頻度とは?項目ごとの違いやタイミングについて解説のページへ
関連サービスについて
情報セキュリティ教育
どれだけセキュリティ対策を行っても、使用者が使い方を誤ることで、セキュリティリスクにつながることがあります。
たとえば、社内システムのID、パスワードを外部の人間に漏らす、外部から届いたメールの添付ファイルを開いてランサムウェアに感染するなどのリスクです。使用者のセキュリティ知識が足らず、セキュリティに関する意識が低いと、情報漏洩や不正アクセスなどが起きやすくなってしまいます。
そのため、日ごろから社員に対する情報セキュリティ教育を行っておく必要があります。講習会やeラーニングなどによる研修を充実させ、全社的にセキュリティ意識を高めましょう。
まとめ
この記事では、ファイアウォールの機能や設置場所、ファイアウォール以外のセキュリティ対策について解説しました。
社内ネットワークをセキュリティの脅威から守るためには、ファイアウォールはもちろん、それ以外のセキュリティ対策も行う必要があります。セキュリティ診断や社内のセキュリティ教育なども含めて、社内の資産を守るための対策が十分かを確認してみてください。
>>SHIFTのセキュリティソリューションのページへ
>>お問い合わせページへ
>>料金についてページへ