COLUMN

1.ファイアウォールとは？意味と必要性

ファイアウォールとは、通信の出入り口に設置して、不正な侵入や未許可通信から大切な情報を守るためのシステムです。

本来、ファイアウォールとは火災などから建物を守る「防火壁」のことを指します。インターネットの世界では、外部ネットワークからの攻撃や不正アクセスから、ネットワークまたはコンピュータを防御し、防火壁と同じ働きをするシステムのことをファイアウォールと呼ぶようになりました。

ファイアウォールは、全ての不正攻撃を防げる万能ツールではありませんが、不審なアクセスを判断する基礎的防御の役割を備えています。ファイアウォールだけでセキュリティが万全になるとはいえないものの、ネットワークやシステムを守るためのツールとして必要だといえるでしょう。

1-1.ファイアウォールを無効にするとどうなる？

WindowsやMacなどの主要なOSには標準で搭載されているファイアウォールですが、無効化してしまうと、不正な通信を監視して遮断するかを判断する機能がなくなり、外部のサイバー攻撃に対して無防備な状態になってしまうでしょう。

ファイアウォールが無効になり、外部からの不正な攻撃に対して検知・遮断しなくなれば、不正アクセスのリスクが高まります。マルウェア感染や、特定のポートを狙った攻撃のリスクも増加することから、可能な限り有効な状態にしておくべきです。

ただし、新しいプログラムをOSにインストールする際は、ファイアウォールが新しいプログラムを不審なアクセスだと判断してブロックしてしまう可能性があります。怪しいと判断されてしまったら、新しいプログラムを入れる際だけファイアウォールを無効化し、作業後すぐに有効にするなど、設定を変更して利用しましょう。

2.ファイアウォールの種類と仕組み

ファイアウォールとはどういったシステムなのか解説しましたが、ファイアウォールのフィルタリング機能には、大きく分けて以下の3つがあります。

• パケットフィルタリング型
• サーキットゲートウェイ型
• アプリケーションゲートウェイ型

それぞれの種類と仕組みについて、順番に見ていきましょう。

2-1.パケットフィルタリング型

パケットフィルタリング型は、パケットの先頭にあるヘッダを解析し、通過させるかどうかを判断するフィルタリング機能です。ファイアウォールとしては一般的で、ヘッダを解析するのみなので単純な処理で済み、通信速度が速いという特徴を持っています。

ただし仕組み上、偽装されたパケットを検知したり、アプリケーションの脆弱性を突いた攻撃には対応できません。

2-2.サーキットゲートウェイ型

サーキットゲートウェイ型は、パケットフィルタリング型にポート制御などの機能が加わったフィルタリング機能です。パケット通信へのアクセス制限に加えて、ポート指定により特定のアプリケーションによる通信も制御できます。

アプリケーションごとの設定が可能であるため、特定のシステムやソフトウェアで通信を制御する際にも有効ですが、クライアント側にも専用のソフトウェアが必要となる場合がある点には注意しましょう。

2-3.アプリケーションゲートウェイ型

アプリケーションゲートウェイ型は、アプリケーションごとにセキュリティを設定するフィルタリング機能です。通信サービスごとの詳細を確認できるため、なりすまし攻撃にも有効です。

一方でアプリケーションゲートウェイ型は、細かい制御設定が難しい点と、従来より通信速度が遅くなる短所も持ち合わせています。

ファイアウォールには上記の3種類がありますが、種類ごとに特徴も異なるため、導入前によく理解しておくとよいでしょう。近年では3つの機能を必要に応じて組み合わせたり、付加機能をつけたりするなど、それぞれの欠点をカバーして特徴を活かしたファイアウォール製品も発表されています。

3.ファイアウォールの基本的な機能3つ

ファイアウォールとはなにか、種類と仕組みについて紹介しましたが、ファイアウォールの基本的な機能についても知っておきましょう。ファイアウォールの基本的な機能には、以下の3つがあります。

• フィルタリング機能
• アドレス変換機能
• 監視機能

順番に見ていきましょう。

3-1.フィルタリング機能

ファイアウォールの基本的な機能としてまず挙げられるものが、フィルタリング機能です。フィルタリング機能は、有害または不審な通信をブロックするもので、あらかじめ通信元と宛先のIPアドレスやポートを設定しておけば、特定の通信を許可または拒否できます。フィルタリング機能は不正アクセスを識別するために重要で、手法は以下のとおりです。

• 静的・動的フィルタリング：通信可否機能を備える、比較的シンプルなフィルタリングの手法
• ステートフル・インスペクション：ヘッダ情報だけではなく通信の手順を解析して通信可否を判断する手法
• プロキシ型フィルタリング：通信内容を確認して可否を判断する手法

3-2.アドレス変換機能

アドレス変換機能も、ファイアウォールの基本機能です。インターネットで使用する「グローバルIPアドレス」と、社内ネットワークで使用する「プライベートIPアドレス」の間で相互にIPアドレスを変換するNAT（Network Address Translation）という機能が備わっています。

NATを使用すれば、任意の通信を内部ネットワークの特定コンピュータへと誘導することが可能です。アクセス制限の厳しい部署、そうではない部署などと、セキュリティレベルも分けられます。

3-3.監視機能

遠隔管理やログ監視機能も、ファイアウォールがさまざまな不正アクセスから情報を守るために重要な機能です。ファイアウォールは不正なアクセスの通過可否を判断しますが、万が一不正アクセスを通過させてしまった場合、企業の情報が盗まれてしまう可能性があります。

不正アクセスを許してしまった場合には早急に対処する必要があるため、管理は常に怠らないようにしなければなりません。ファイアウォールの監視機能を使えば、管理者は遠隔地からでも監視ができます。

具体的に、ファイアウォールの監視機能は以下のとおりです。

• ログ取得や閲覧
• 設定変更
• ソフトウェアのメンテナンス
• 設定情報のバックアップとリストア

必要な操作の多くをブラウザ上で実施できる監視機能も、ファイアウォールにとって重要な機能といえるでしょう。

ファイアウォールの選定や設計、クラウドセキュリティのお悩みやお困りごとなどNTT東日本のエンジニアにて無料でご相談対応しております。お気軽にお問い合わせください。

4.セキュリティを強化するためにはIDS/IPS・WAFとの併用が不可欠

前述したようにクラウド型ファイアウォールは、クラウド上に重要なデータを保管する現代に適したセキュリティ製品ではありますが、万全なセキュリティ製品ではありません。セキュリティを強化するためには、IDS/IPS・WAFとの併用が不可欠です。

異なるシステムの間でスムーズにデータ通信をするための共通の枠組みである、「OSI基本参照モデル」を見てみましょう。OSI基本参照モデルとは「Open Systems Interconnection Reference Model」の略で、日本語では「開放型システム間相互接続参照モデル」と訳されます。

OSI基本参照モデルは、ネットワークでの通信機能を7つの層に分けて定義していますが、ファイアウォールで防げるのは主に「データリンク層」と「ネットワーク層」、「トランスポート層」のみです。それ以上の階層を防御しようとすれば、IDS/IPSやWAFとの併用が必要です。

IDS（Intrusion Detection System）/IPS（Intrusion Prevention System）は「不正侵入検知システム/不正侵入防止システム」を指し、ファイアウォールと同じく、通信を監視して不審なものではないか判断するセキュリティシステムです。OSI基本参照モデルの層に当てはめてみると、「データリンク層」の一部から「アプリケーション層」の一部まで防御できます。

WAF（Web Application Firewall）は、Webアプリケーションの脆弱性を突いた攻撃からの防御に特化したセキュリティシステムです。OSI基本参照モデルの「アプリケーション層」をカバーできます。

IDS/IPSやWAFの導入メリットや防げる攻撃については、以下の記事で詳しく解説しています。IDS/IPS・WAFについて気になる方は、ぜひ読んでみてください。

IDS・IPSとは？違いや種類、導入メリットや検知・防御できる攻撃について詳しく解説

クラウドWAFとは？防げる攻撃やメリット、導入すべきケースを解説

ファイアウォールの選定や設計、クラウドセキュリティのお悩みやお困りごとなどNTT東日本のエンジニアにて無料でご相談対応しております。お気軽にお問い合わせください。

5.自社の情報セキュリティ対策ならぜひNTT東日本にご相談ください

ファイアウォールの意味や必要性、仕組み、機能について詳しく見ていきましたが、設定はしたものの、本当に適切に情報セキュリティ対策ができているのか不安に感じている方も多いのではないでしょうか。適切な情報セキュリティ対策ができていなければ、大切な情報が漏えいし、悪用されてしまうかもしれません。

情報セキュリティ対策について疑問や不安に思うことがあれば、NTT東日本にお任せください。

また、クラウドに関するセキュリティ対策であれば、NTT東日本のAWS資格保有者が、クラウド利用のベストプラクティスに基づいたチェックリストで、運用中のクラウド環境における情報セキュリティ設定を客観的にチェックするサービスもございます。

チェックに加え、診断後はお客さまに向けて現在のセキュリティ状況を説明し、詳しくアドバイスをお話しします。

自社のセキュリティの現状、さらに良くするための対策を知りたい方は、ぜひ以下のページで詳細をご確認ください。

NTT東日本のAWSセキュリティチェック

ファイアウォールについてまとめ

ファイアウォールとは通信のネットワークの境目に設置し、不審な通信を検知してブロックする防火壁となるセキュリティシステムです。ファイアウォールはフィルタリング機能やアドレス変換機能、監視機能によってさまざまな通信の判断をしています。

しかし、ファイアウォールを設置しただけで万全なセキュリティが叶うわけではありません。ネットワークでの通信機能を7つの層に分けて示したOSI基本参照モデルの全てをカバーするためには、ファイアウォールだけでなく、IDS/IPSやWAFとの併用が不可欠です。

もしも自社の情報セキュリティ対策について疑問がある方や、本当に万全な情報セキュリティ対策ができているのか不安に思う方は、ぜひNTT東日本にお気軽にお問い合わせください。

クラウドセキュリティに関しては、数多くの経験や資格を持つクラウドのプロが、企業のセキュリティチェックを実施し、チェックレポートを発行して詳しく説明するサービスもございます。セキュリティチェックサービスについては、以下のページに詳しくまとめています。自社の情報セキュリティ対策をチェックしたい、万全な情報セキュリティ体制を敷きたいと思っている方は、ぜひNTT東日本のセキュリティチェックサービスをお試しください。

NTT東日本のAWSセキュリティチェック