schedule 2018/04/02 refresh 2023/11/09
(Pixabayの画像を加工)
ファイアウォール(firewall)は、本来火災から建物を守る防火壁のことですが、ネットワークでは、インターネットなど外部ネットワークと内部ネットワークの間に設置され、外部からの不正アクセスから内部を防御するためのハードウェアやソフトウェアのことをいいます。
(出典:独立行政法人情報処理推進機構(IPA)、企業のCISOやCSIRTに関する実態調査2017、P94、2017年4月13日)
IPAが公表した報告書では、日米欧の企業がサイバーセキュリティ対策に導入している製品は、1位がウイルス対策ソフト・サービス、次いで2位ファイアウォール(ハードウェア)でした。また、ソフトウェアのアプリケーションファイアウォールも導入されています。
ファイアウォールは、ウイルス対策ソフトと共にサイバーセキュリティ対策にとって必須条件となっています。
ファイアウォールは、主に2種類あります。
パケットのヘッダーにある送信先IPアドレス、発信先IPアドレス、通信プロトコル、ポート番号などから、社内のネットワークポリシーに基づき許可や禁止を設定することによりアクセスを制限します。
特定の情報データだけを通すことが可能で、外部からの不正アクセスを防いだり、内部からのデータ漏えいを防いだりすることができます。
より拡張した方法として、ヘッダー内容だけでなく、パケットの通信手順を監視し不正な偽装パケットを検出することが可能な、ステートフルインスペクション(ステートフルパケットフィルタリングとも呼ぶ)があります。
パケットフィルタリングは、パケットの内容を細かく検査照合しませんので、簡単で高速処理が可能ですが、巧妙に偽装されたパケットの検出、アプリケーションの脆弱性等を利用した攻撃を防ぐことができません。
ファイアウォールが、アプリケーションレベルでプロキシ(代理)サーバとして通信を中継するため、内部と外部ネットワークは直接通信しません。(プロキシ型ファイアウォールとも呼ばれます。)
したがって、外部ネットワークからはファイアウォールが見えるだけで、内部ネットワークは見えません。
アプリケーションレベルのプロトコル、HTTP、FTP、SMTPなどのパケット内容を参照し、ユーザー単位のアクセス制限、内容によるフィルタリングなど、細かな設定が可能です。
システム構築時には、アプリケーションレベルごとのプロキシサーバ設置、パケットのデータ処理量、アクセスするクライアント台数、などの増加に伴うレスポンスの遅延を考慮して設計する必要があります。
ファイアウォールの設置方法は、3種類あります。
公開サーバが内部にある場合、内部からのアクセスは容易ですが、外部からのアクセスによるサイバー攻撃で内部ネットワーク全体が脅威にさらされる危険があります。
公開サーバがサイバー攻撃を受けても、内部ネットワークに影響はありませんが、公開サーバのセキュリティ対策は十分に行う必要があります。
現在、企業が採用している最も一般的な方法です。
外部ネットワークと内部ネットワークと間にDMZと呼ばれるネットワークセグメントにファイアウォールを設置し、そのサブネットに公開サーバと内部サーバを設置する方法です。
各サーバは、ファイアウォールにより外部ネットワークと内部ネットワークから隔離されています。
インターネットなど外部ネットワークからのサイバー攻撃や内部ネットワークからのマルウエア等による感染を防ぎ、内部ネットワークへの影響を阻止し、情報漏えいを防ぐことができます。
DMZの構築には、手間がかかり、管理が煩雑になるというデメリットがありますが、他の方法と比べ強固なセキュリティを確保することができます。
ファイアウォールは、必須の情報セキュリティ対策ですが、完全なものではありません。
ファイアウォールの動作状況や不正アクセスを監視するため、定期的にログ解析を行い、設定ミス、サイバー攻撃、セキュリティホール、通信量の増加による障害発生を未然に防止しましょう。
また、侵入検知システム(IDS、Intrusion Detection System)や侵入防御システム(IPS、Intrusion Prevention System)、IPアドレスとポート番号を変換するIPマスカレード等の技術と併用して運用すれば、より安全なセキュリティ対策になります。
ファイアウォールは、セキュリティポリシーに基づくトータルセキュリティソリューションの1つとして捉え、運用する必要があります。
