ファイアウォールとは?種類や機能やを初心者にも分かりやすく解説
Check!
- ファイアウォールとは、外部と内部間の不正アクセスや攻撃を防御するシステムである。
- 企業内全体のネットワークを保護するには、ファイアウォールサービスの導入が必要
- ファイアウォール単独では防御できない攻撃もあり、他セキュリティとの連携も検討する
ファイアウォールとは、ネットワーク通信において外部からの侵入や攻撃を防ぎ、内部からの不正なアクセスを禁止することで、悪意のある通信から保護するシステムです。この記事では、ファイアウォールの機能や導入のメリット・デメリットを分かりやすく解説していきます。
目次
開く
閉じる
開く
閉じる
ファイアウォールとは
ファイアウォールは、ネットワークやシステムのセキュリティを強化するための技術的な制御手段です。簡単に言えば、「ネットワークのセキュリティガード」といった位置づけです。
ファイアウォールは、Windowsに標準装備されており、ホームネットワークレベルであれば問題ないセキュリティ性能を持っています。しかし、企業レベルのネットワーク保護となるとセキュリティ効果は充分とは言えず、ファイアウォールサービスの導入が必要です。
また、自社のセキュリティポリシーや規制要件に合わせ、許可された通信のみを受信し、許可していない通信を遮断します。これにより、データ漏洩や改ざん、サービス停止などのリスクを最小限に食い止めることが可能です。
ファイアウォールとパーソナルファイアウォールの違い
ファイアウォールは、その名の通り、ネットワーク上で「防火壁」の役割をするセキュリティ機能です。パソコンにインストールされているファイアウォールが、データ通信を監視およびフィルタリングし、疑わしいアクセスを即座に遮断し侵入をブロックします。
近年では、ファイアウォール機能を備えたルーターが登場しています。インターネットに接続している機器がパソコンではなくルーターのため、外部からパソコンを隠せるメリットがあります。また、ファイアウォールが入っていない端末を保護することも可能です。
パーソナルファイアウォールは、Windows10や11にも標準装備されており、ホームネットワークレベルであれば問題ないセキュリティ性能を持っています。しかし、企業レベルのネットワーク保護となると、セキュリティ効果は充分とは言えない可能性があります。
ファイアウォールとルーターの違い
ファイアウォールは、その名の通り、ネットワーク上で「防火壁」の役割をするセキュリティ機能です。一方、ルーターはネットワーク同士を接続する通信機器であり、両者は全く異なるものと言えます。
使用の目的が異なる両者ですが、近年はファイアウォール機能を備えたルーターが登場しています。インターネットに接続している機器がパソコンではなくルーターのため、外部からパソコンを隠せるメリットがあります。
また、ファイアウォールが入っていない端末を保護することも可能です。外付け機器のため、ネットワーク設定を変更することなく、接続する端末全てを保護できるのもファイアウォールルーターの利点です。
ファイアウォールとWAF・IPS/IDSの違い
パソコンのセキュリティ対策には、ファイアウォールのほかにも、WAFやIPS/IDSがあります。以下で、それぞれの特徴を比較し、WAFやIPS/IDSについて詳しく解説します。
| セキュリティの種類 | 特徴 |
|---|---|
| ファイアウォール | ・ネットワーク全体の通信を監視する ・ IPアドレスとポートをフィルタリングして保護する |
| WAF | ・Webアプリケーションをを対象に、Webを監視する ・不正スクリプト・バッファオーバーフローなどを検出 ・防御する |
| IPS/IDS | ・ネットワーク上の不正アクセス ・攻撃を検知し、適切な対策を講じる ・社内から社外へのアクセスも監視可能 |
WAF
WAFは、Web Application Firewallの略語で、Webアプリケーションの脆弱性を狙った攻撃から端末を保護するセキュリティ対策製品です。使用用途により、「ソフトウェア型」「アプライアンス型」「クラウド型」などの提供形態があります。
ファイアウォールでは、企業が外部に公開しているWebアプリケーションへのセキュリティはかけられませんが、WAFを利用すれば、Webアプリケーションに対しセキュリティ対策を講じられるメリットがあります。
一方、WAFは通信を機器によって検知・判定します。セキュリティレベルを高く設定しすぎると、誤検知・誤遮断が起こる可能性があり、レベル設定が難しいのがデメリットです。また、提供形態によっては専用機器の購入が必要で、初期費用や運用コストが発生します。
IPS/IDS
IPS(Intrusion Prevention System)とIDS(Intrusion Detection System)は、ともに不正アクセスからネットワーク・サーバを保護するセキュリティシステムです。両者の違いは、IDSが不正アクセスを検知するのに対し、IPSは不正アクセスを防御する点です。
IPS/IDSは、どちらもさまざまな外部攻撃からの防衛手段として有効です。しかし、昨今Webアプリケーションへの攻撃は多様化しており、場合によっては詳細に検知できないデメリットを抱えています。
ファイアウォールが必要とされる理由
インターネットの普及で、企業や組織はネットワーク上でさまざまな通信やデータ利用を行うようになりました。そんな中、ますます巧妙化しているサイバー攻撃から重要な機密データや個人情報を保護するためには、ファイアウォールの導入が不可欠です。
もし、ファイアウォールを導入しなかった場合、外部からの不正アクセスやサイバー攻撃に対する「防護壁」の機能がなくなります。それにより、ネットワークやシステムが不正にアクセスされ、機密情報の侵害・データ改ざん・システム停止などのリスクが生じます。
今やファイアウォールは、外部の攻撃からネットワークを保護し、セキュリティリスクを軽減するために重要な存在です。
ファイアウォールの種類と仕組み
ファイアウォールは、「パケットフィルタリング型」「アプリケーションゲートウェイ型」「サーキットレベルゲートウェイ型」の3つに大別されます。
セキュリティの適用範囲と対象が異なるので、ファイアウォールの導入を検討する際は、それぞれの仕組みや特徴を把握することが重要です。
\気になる項目をクリックで詳細へジャンプ/
| ファイアウォールの種類 | 特徴 |
|---|---|
| パケットフィルタリング型 | 通信を許可するIPを事前設定し、登録のないIPからの通信を遮断する |
| アプリケーションゲートウェイ型 | データ内容まで詳細にチェックし、通信の許可を判断する |
| サーキットレベルゲートウェイ型 | パケットフィルタリング型の機能に加え、アプリケーションごとに通信を許可するポートを指定・制御 |
パケットフィルタリング型
パケットフィルタリング型は、パケットのヘッダ情報をチェックして通信を監視・制御するのが特徴です。IPアドレス・ポート番号・プロトコルなどの情報を参照し、事前に設定した設定に基づき、許可またはブロックの判断を行います。
検知が行われるのはヘッダのみなので、情報処理速度が速いのがメリットです。一方、データ内容を詳細にチェックしないため、偽装パケットが検知できず安全面で劣るデメリットもあります。
| メリット | デメリット |
|---|---|
| 実装が比較的簡単で、高速で動作する | 「なりすまし」型の不正アクセスに対する効果が弱く、安全面で劣る |
| 要件に合わせて通信を許可・ブロックするなど、カスタマイズ可能 | セキュリティルールを一つ一つ定義しなければならず、 設定が煩雑で手間がかかる |
アプリケーションゲートウェイ型
アプリケーションゲートウェイ型は、アプリケーションレベルでネットワークを監視・制御するのが特徴です。パケットのヘッダ情報のみならず、データ内容やアプリケーションのプロトコルまで詳細に分析し、通信の可否を判断します。
送受信されるデータの中身を全て監視するため、パケットフィルタリング型では発見できない「なりすまし型」の不正アクセスにも高い効果を発揮します。しかし、検知対象のデータ量が多い場合、通信速度が低下してしまうのがデメリットです。
| メリット | デメリット |
|---|---|
| アプリケーションデータの内容まで詳細にチェック可能 | 検知対象の情報読み込み量が多いと、通信速度が落ちる |
| 内部ネットワークのアクセス制御が可能 | セットアップや管理が複雑で、専門的な知識が必要 |
サーキットレベルゲートウェイ型
サーキットレベルゲートウェイ型は、パケットフィルタリング型の動作に加え、ポート指定・制御機能を備えているのが特徴です。通過するパケットの送信元や宛先を書き換えて、内部ネットワークのアドレスや構成などを隠蔽し、外部に対して内部情報を与えません。
コネクション単位で通信の可否を判断するため、パケットフィルタリング型よりもセキュリティ面で優れ、送信元IPアドレスの偽装を防御できるのがメリットです。一方、専門的な知識や技術が必要なため、他のシステムより導入コストが高いデメリットがあります。
| メリット | デメリット |
|---|---|
| 送信元や宛先を書き換え、内部ネットワークのアドレスや構成を外部から隠蔽できる | アプリケーション間のやりとり、データ内容まで詳細に確認できない |
| アプリケーションごとに設定でき、特定のソフトウェアやシステムの制御に有効 | 専門知識や技術が必要で、他のシステムより導入コストが高い |
ファイアウォールの機能
ファイアウォールには、「フィルタリング機能」「IPアドレス変換機能」「遠隔管理・監視機能」など、ネットワークやコンピュータを保護するためのさまざまな機能があります。以下の説明を参考に、自社に必要な機能を見極めましょう。
\気になる項目をクリックで詳細へジャンプ/
| 機能 | 内容 |
|---|---|
| フィルタリング機能 | 事前に設定したルール・条件に基づき、ネットワークを監視して通信の許可またはブロックを行う |
| IPアドレス変換機能 | IPアドレスを変換して内部のコンピュータの存在を隠蔽し、外部から攻撃を受けにくくする |
| 遠隔管理・監視機能 | 遠隔地からネットワークを管理・監視し、外部からの攻撃に対して即座に対応できる |
フィルタリング機能
フィルタリング機能とは、ネットワークトラフィックを監視し、事前に設定したルール・条件に合った通信だけを通過させて不正アクセスを遮断する機能です。社外からの不正アクセスのみならず、社内ネットワークの不審な動きも検知できます。
フィルタリングの手法は、「静的・動的フィルタリング」「ステートフルインスペクション」「プロキシ型フィルタリング」に大別されます。静的・動的フィルタリングは、パケットのヘッダ情報から通信の可否を判断します。
ステートフルインスペクションは、ヘッダ情報のほかコンテキストも参照するのが特徴です。また、プロキシ型フィルタリングは、ヘッダのみならず通信内容も詳細に確認するため、セキュリティ性に優れています。自社の規模や課題に合わせ、機能を選ぶのが大切です。
IPアドレス変換機能
IPアドレス変換機能は、NAT (Network Address Translation)とも呼ばれ、自社内部から外部にダイレクトで接続しないよう、グローバルIPアドレスをプライベートIPアドレスに変換する機能です。
内部ネットワークのIPアドレスが隠され、外部からはパブリックIPアドレスしか見えないので、攻撃を受けにくくなります。それにより、自社の内部ネットワークのセキュリティ強化が可能です。
また、任意の通信を内部ネットワークにある特定のパソコンに誘導できるため、セキュリティレベルを分割できます。
遠隔管理・監視機能
遠隔管理・監視機能は、ファイアウォールの管理・監視を遠隔で操作できる機能です。毎日、昼夜関係なく繰り返される外部からの不正アクセス・サイバー攻撃に対して、ネットワーク管理者が遠隔地からファイアウォールを監視し、即座に対応することができます。
外部攻撃からの被害を最小限に食い止めるには、迅速な対応が求められます。そのためにも、遠隔管理・監視は必要な機能です。この機能があれば、管理者は自宅でも海外の出張先でも、365日24時間体制でネットワークを遠隔で管理・監視することが可能です。
ファイアウォール導入のメリット
マルウェアの種類は日々増え続け、サイバー攻撃の手口もますます巧妙化しています。絶え間なく襲いかかる外部の攻撃から、自社の機密情報を守るためには、ファイアウォールの導入が重要です。
ファイアウォール導入により、コンピュータを外部・内部の不正アクセスから保護したり、情報漏洩を防いだりするメリットが生まれます。ファイアウォールの導入メリットを、以下で詳しく解説します。
\気になる項目をクリックで詳細へジャンプ/
ファイアウォール導入のメリット
外部からの不正アクセスやサイバー攻撃を防げる
ファイアウォールは、フィルタリング機能で通過を許可するアクセスを判別します。そのため、不正アクセス・サイバー攻撃など、外部からの悪意あるアクセスを防止することが可能です。
不正アクセス・サイバー攻撃を試みる外部からの疑わしいアクセスを遮断し、内部コンピュータとの接触を未然に防いで、セキュリティを強化します。
内部からの不正アクセスを禁止できる
不正アクセスは、外部からのものだけとは限らず、外部からの不正アクセス対策をしただけでは万全なセキュリティとは言えません。内部からの不正アクセスにも着目し、セキュリティ対策を講じる必要があります。
ファイアウォールは、セキュリティポリシー・ルールの設定により、内部からのアクセスを制御します。内部からの特定のIPアドレス・ポートへのアクセスや、内部ネットワーク内の特定のサーバーへのアクセス制御が可能になり、内部からの情報流出を防げます。
情報漏洩を防げる
ファイアウォールを導入すれば、内部から外部ネットワークへの不正アクセスを防止することが可能です。それにより、内部からの情報流出などの犯罪を未然に阻止できます。
機密情報・顧客情報は、企業にとって絶対に守らなければならない重要なデータです。万が一、これらのデータが流出すれば、データ改ざんにより業務停止の危機に陥ったり、個人情報の流出で顧客からの信頼が失墜したりする恐れがあります。
ファイアウォールを導入していれば、データ改ざんや情報漏洩の原因になる不正プログラム侵入のリスクを阻止できる可能性が大幅に上がります。
ファイアウォール導入のデメリット
外部からの攻撃に備え、大切なデータを守るのに有効なファイアウォールにもデメリットは存在します。ファイアウォールのデメリットを把握して対策を講じれば、より効果的にセキュリティを強化することが可能です。
\気になる項目をクリックで詳細へジャンプ/
ファイアウォール導入のデメリット
ファイアウォール単独だけでは不十分
複数のプログラムやデータベースと連携していると、思わぬ脆弱性が生まれることもあり、ファイアウォールでは対処できない可能性があります。
例えばまだ公になっていない、修正前のソフトウェアに発覚した脆弱性を狙った「ゼロデイ攻撃」は、ファイアウォールで防ぐのが難しいと言われる攻撃の一つです。
また、最近ではファイアウォール自体の脆弱性につけこみ攻撃をしかけてくるマルウェアもあるため、ファイアウォール単独だけではセキュリティが不十分と言えます。
インターネットの動きが遅くなる可能性がある
ファイアウォールは、常に通信を監視しています。ファイアウォールの種類によっては、データの内容まで詳細に確認するため、システムに負荷がかかりインターネットの動きが遅くなる可能性があります。
ヘッダのみを確認するタイプであれば動きは軽くなりますが、中身まで確認しない分セキュリティ性能は劣ります。 よりセキュリティを強化したい場合は、インターネットの動きが遅くなる可能性を念頭に置いておきましょう。
ファイアウォールの設置パターン
ファイアウォールの設置方法にはいくつかのパターンが考えられます。非公開の社内ネットワークのみを保護したい、Webやメールなどの公開サーバーも同時に保護したいなど、目的ごとの設置パターンについて解説します。
\気になる項目をクリックで詳細へジャンプ/
ファイアウォールの設置パターン
社内ネットワークを全てファイアウォールの内側に置く
公開サーバーを含む社内ネットワークを、全てファイアウォールの内側に置くことで、公開サーバーにアクセスしやすい環境が作れます。しかし、万が一公開サーバーが攻撃を受けて侵入されてしまえば、非公開の社内ネットワークの情報が漏洩するリスクもあります。
公開サーバーはファイアウォールの外側に置く
社内ネットワークを守るために、公開サーバーをファイアウォールの外側に置く方法もあります。社内ネットワークと公開サーバーの間にファイアウォールが設置されている状態なので、公開サーバーが外部から侵入されても社内ネットワークは保護されます。
しかし、公開サーバーにも大切な情報が含まれていることは多く、何らかのセキュリティ対策を施す必要があります。
ファイアウォールを2台設置する
内部ネットワーク-ファイアウォール-公開サーバー-ファイアウォール-外部ネットワークという形でファイアウォールを2台設置して、内部ネットワークと公開サーバーの両方を保護する方法です。
上記の通り、公開サーバーは2台のファイアウォールに挟まれた場所に置かれます。この場所はDMZ(非武装地帯)と呼ばれ、外部からのアクセスがしやすい傍ら、攻撃からは守られやすくなっています。
2台を管理するため手間は増えるものの、内部ネットワークの保護と公開サーバーのアクセスという課題を解決できる方法として、現在は多くの企業で採用されています。
ファイアウォールの選定ポイント
ファイアウォールは、自社の規模や導入目的に合わせて選ぶことが大切です。ファイアウォール選定のポイントを、以下で詳しく解説します。
\気になる項目をクリックで詳細へジャンプ/
ファイアウォールの選定ポイント
自社の導入目的やネットワーク規模に合っているか
ファイアウォールを選ぶ際は、自社の導入目的やネットワークの規模に合わせて選ぶ必要があります。「不正アクセスを防ぐ」「ウイルス侵入を防ぐ」「情報漏洩を防ぐ」など、目的により適した製品が異なるため、まずは導入目的を明確にしましょう。
また、企業の規模によっても、見合う製品・プランは異なります。そのため、導入前に自社のネットワーク規模を確認しておくことが大切です。将来的に、自社のネットワーク規模を拡大する可能性があるなら、拡張性のある製品を選ぶようにしましょう。
提供形態は適切か
ファイアウォールには、ソフトウェア型・ハードウェア型・クラウド型などの提供形態があります。ソフトウェア型は社内ネットワークの通信を、ハードウェア型は社内ネットワーク機器の通信を保護します。一方、クラウド型は、サーバの通信を監視します。
ファイアウォールを導入する際には、セキュリティ強化が必要な領域を考慮し、それに見合う提供形態を検討しましょう。自社に合った適切な提供形態を選べば、より制度の高いネットワーク管理が行えます。
他セキュリティやシステムとの連携は必要か
自社のネットワーク規模や事業内容によっては、WAF・IDS/IPSなど他セキュリティや、UTM(Unified Threat Management(統合脅威管理))などのシステムとの連携が必要です。
自社のセキュリティに多くの課題を抱えている場合、ファイアウォール単体での対策は難しいため、他セキュリティやシステムとの連携を視野に入れ、導入を検討しましょう。
UTMとは
UTMは、企業が必要とする複数のセキュリティ対策をひとまとめにした製品です。一般的に、UTM機器にはファイアウォール機能も含まれているため、ファイアウォール単体ではなくUTMを導入する企業も多いです。
複数のセキュリティ機能が働き、ファイアウォール単体では不可能な多重防御を可能にします。しかし、別のセキュリティ対策と併用する場合、UTMと対策範囲が重複する可能性がある点には注意が必要です。
費用対効果は高いか
ファイアウォールのセキュリティレベルは、料金と比例する場合がほとんどです。ネットワークの規模や扱うデータの重要度によっては、コストがかかっても信頼性の高い強固なセキュリティ機能を持つファイアウォールの導入が必要になります。
ファイアウォールの使用料は、月額制が一般的です。月額1万円以下のものから10万円以上のものまで幅広いため、企業の規模に見合う費用対効果が得られるかをしっかり見極めて選びましょう。
サポート体制は手厚いか
ファイアウォールの導入・運用には、高度な専門知識を要することもあり、トラブルの際に自社での対処が難しいことがあります。そのため、ファイアウォール選定の際は、ベンダーのサポート体制を確認しておくとトラブル発生時にも慌てずに済みます。
導入・運用時にどの程度サポートしてもらえるか、サポート対応可能時間・料金、メンテナンス対応の有無など、自社が必要とするサポート体制が整っているかを確認し、ベンダーを選びましょう。
まとめ
企業のネットワークは、常に不正アクセスやサイバー攻撃の脅威に晒されています。ファイアウォールは、外部からの攻撃を検知して内部に侵入させないため、企業のセキュリティ対策に大変有効なツールです。
しかし、ファイアウォールの種類によっては中身まで防げなかったり、単体では防御しきれなかったりするため、慎重に製品選びを行う必要があります。適切なセキュリティレベルが得られるよう、この記事を参考に、自社の規模や環境に合った製品を選んでください。
