サイト内の現在位置

ファイアウォールとは?
仕組みや機能、種類まで徹底解説

ファイアウォールとは?仕組みや機能、種類まで徹底解説

インターネット利用が当たり前になった今、ファイアウォールは企業が取るべきセキュリティ対策の第一歩といえます。この記事では、ファイアウォールの機能、種類や仕組み、設置場所などを解説。特にファイアウォールの代表的機能であるフィルタリング機能については詳しく取り上げています。その他、ファイアウォールを導入しないことによるリスクを考え、ファイアウォール以外に必要なセキュリティ対策についても解説しています。

コンサルティングから設計、構築、機器販売、操作教育まで、ファイアウォールの導入を迅速にサポートします。

詳細はこちら

ファイアウォール構築サービス

ファイアウォール構築サービス

お客さまのご要望や環境に合わせて最適なソリューションを組み合わせて提供します。また、お客さまが対策したい脅威に対応する対策も紹介します。

詳細はこちら

NECフィールディングのセキュリティ紹介

NECフィールディングのセキュリティ紹介

目次

ファイアウォールとは

ファイアウォール(Firewall)は、世界中に広がっているインターネットとオフィスや家庭などのLAN(ローカルエリアネットワーク)の境界に設置し、外部からの不正アクセスや悪意のある第三者によるサイバー攻撃を防ぐためのセキュリティ機器、あるいは機能です。事前に設定されたルールをもとに、インターネットを通じて送られてくる通信をLAN内部に送って良いかを判断します。またLAN内部から許可されていない通信が外部に送られることも防ぎます。

LANに接続されたコンピュータからインターネットに接続するために使われる機器にはルータがあり、ルータもファイアウォール機能を備えています。しかし、さまざまなサービスがインターネットを介して提供されるようになった今、インターネットを介して襲いかかってくる脅威も大きくなっています。不正アクセスによる内部情報や個人情報の漏えい、改ざん、身代金目当てのサイバー攻撃などは企業にとって大きな経営リスクです。

ファイアウォールは強力なセキュリティ機能を備え、そうしたリスクから企業を守るためのツール。インターネット利用が当たり前になった今、企業が取るべきセキュリティ対策の第一歩です。

参考サイト:「ファイアウォールの仕組み」(総務省)
new windowhttps://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/basic/basic_structure_01.html

ファイアウォールの機能

アドレス変換機能

NAT(Network Address Translation、ネットワークアドレス変換)は、オフィスや家庭などのLANで使われるプライベートIPアドレスと、インターネットで使われるグローバルIPアドレスを変換する機能です。元々はIPアドレスを複数の端末で共有して、効率的に使うための仕組みです。

IPアドレスが2つにわかれていることは、1台1台のコンピュータなどが直接インターネットにつながっていないことを意味します。インターネットとLANの境界に設置されたファイアウォールがプライベートIPアドレスをグローバルIPアドレスに変換することで、LAN内部のコンピュータはインターネット接続が可能になります。

より具体的には、LAN内部の端末1台1台を区別するために、プライベートIPに加えて、各端末に割り当てられたポート番号を含めて変換するNAPT(Network Address Port Translation)という仕組みが使われていますが、多くの場合、NAPTも含めてNATと呼ばれています。

監視機能

監視機能は、インターネットを通じて送られてくる不正な通信を監視する機能です。ファイアウォールは通過させた通信、あるいは遮断した通信をすべて監視し、ログとして記録しています。

例えば、しばしばサイバー攻撃の前触れとなるポートスキャンを検知することで、サイバー攻撃に備えることを可能にします。また不正アクセスを検知したときは管理者に通知します。またログを調査・分析することで不正アクセスの詳細や、内部から外部への通信状況などをチェックすることもできます。

フィルタリング機能

フィルタリング機能は、ファイアウォールの最も代表的な機能といえます。外部からの不正アクセスや攻撃を、発信元や通信情報などから見極めて遮断し、正規の通信のみを通過させることでLANのセキュリティを維持します。 フィルタリング機能は大きくわけて3つの種類があります。静的・動的フィルタリング、ステートフルインスペクション、プロキシ型フィルタリングです。それぞれ見ていきましょう。

  • 静的・動的フィルタリング
    静的フィルタリング・動的フィルタリングは、条件のリストをもとに通信を通過させるか、遮断するかを決める方法です。
    静的フィルタリングは、IPアドレス、プロトコル、ポート番号などの情報をもとに条件のリストを作り、通信を通過、あるいは遮断します。シンプルな方法ですが、欠点はファイアウォールにはリストをもとに通信の「通り道」が作られ、常に(=静的に)穴が空いたような状態になってしまうことです。
    動的フィルタリングは、その欠点を解消したもので、リストを変化させて、必要なときだけ通り道を作ります。つまり、通信のリクエストがあったときにまずリストが作られて、内から外への通り道ができ、次にその通信がファイアウォールを通過すると、リストに新たな条件が加えられて、外から内への通り道ができます。
    静的フィルタリング・動的フィルタリングのどちらも、通信のヘッダ(宛先情報が保存されている部分)を監視してフィルタリングを行います。
  • ステートフルインスペクション
    ヘッダを監視する静的・動的フィルタリングに対して、ステートフルインスペクションは、ヘッダ情報だけでなく、通信の手順を監視して、通信をフィルタリングします。つまり、LANからインターネット(内から外)に送られたデータを記録しておき、次にインターネットからLAN(外から内)に返信されてきたデータについて、記録してある送信履歴と矛盾していないかをチェックします。簡単にいえば、出入りに矛盾がないかをチェックする方法です。外部(インターネット)から一方的に送られてくるデータは基本的に拒否します。
  • プロキシ型フィルタリング
    プロキシ型フィルタリングは、プロキシサーバ(代理サーバ)が通信を代行することで、通信内容まで監視してフィルタリングする方式です。アプリケーションゲートウェイ型とも呼ばれます。静的・動的フィルタリング、ステートフルインスペクションでは監視できない高度な攻撃をチェックできるうえ、プロキシサーバがLAN内部のコンピュータに代わってインターネットと通信を行うため、高いセキュリティが維持されます。しかし、プロキシサーバを経由するため、通信速度が低下する可能性があります。

ファイアウォールの種類や仕組みとは

ファイアウォールの種類や仕組みとは

ファイアウォールは、フィルタリングの方法によって、いくつかの種類にわけることができます。代表的な3つの種類であるパケットフィルタリング型、サーキットゲートウェイ型、アプリケーションゲートウェイ型のファイアウォールとその仕組みを見ていきましょう。

パケットフィルタリング型

パケットフィルタリング型は、通信をパケット単位で解析して、通過させるか、拒否するかを決めるタイプのファイアウォールです。インターネットで通信するとき、データは小さなかたまりに分割されて送受信されますが、この分割されたデータをパケット(IPパケット)と呼びます。パケットには、送信元や宛先が記載されたヘッダが付けられています。

ヘッダ情報をもとにフィルタリングするのが静的・動的フィルタリングです。ヘッダ情報に加えて、通信の手順や履歴もチェックするのがステートフルインスペクションで、どちらもパケットフィルタリング型に分類されます。

パケット情報をもとにした、比較的シンプルな方法なので、通信速度が遅くならないなどのメリットがありますが、偽装したパケットを見抜くことはできません。またWebアプリケーションの脆弱性を狙う高度な攻撃を防ぐこともできません。

サーキットゲートウェイ型

サーキットゲートウェイ型(サーキットレベルゲートウェイ型)は、パケットフィルタリングに加えて、ポートの指定や制御機能を加えた方法です。

パケットフィルタリングに比べると、設定や管理をより簡単に行うことができるうえ、パケットフィルタリングでは防ぐことができない送信元IPアドレスの偽装を防ぐことができます。またポートを指定することで、アプリケーションごとの監視・制御も可能になります。

アプリケーションゲートウェイ型

アプリケーションゲートウェイ型は、ヘッダ情報ではなく、HTTP・FTPといったアプリケーションの通信の内容を監視します。プロキシサーバを使うため「プロキシサーバ型」とも呼ばれます。

データの中身まで監視するため、パケットフィルタリング型やサーキットゲートウェイ型のファイアウォールでは防ぐことが難しい高度な攻撃を防ぐことができます。一方で、プロキシサーバを使用するためコストがかかり、データの中身まで監視するため、通信速度が低下する可能性があります。

お問い合わせはこちら

ファイアウォールを導入しないことのリスク

今やインターネットはビジネスにも、プライベートにも欠かせない存在になっています。インターネット接続が当たり前になっている今、ファイアウォールの導入は必須です。

仮にファイアウォールを導入しなかった場合は、どのようなリスクがあるでしょうか。ファイアウォールが存在しないことは、外部からの不正アクセスや攻撃をすべて許してしまうことになります。

残念ながらインターネット上には、悪意を持った第三者が多数存在し、サーバに保管されている貴重な企業情報やクレジットカード番号などの個人情報を狙っています。また企業のシステムに侵入してサーバをロックしてしまい、ロックを解除する代わりに身代金を要求するような攻撃も起きています。

以前はこうした攻撃のターゲットになるのは大企業が中心でしたが、今では中小企業でも油断できない状況になっています。

攻撃をうけ、機密情報や個人情報が漏えいしてしまうと、直接的に大きな被害を受けるばかりか、企業の評判や信頼も大きく損なわれてしまいます。

お問い合わせはこちら

ファイアウォールとWAF(Webアプリケーションファイアウォール)・IDS/IPSとの違いは?

WAF(Webアプリケーションファイアウォール)との違いは?

Webアプリケーションファイアウォール(WAF、ワフ)は、Webアプリケーションの脆弱性を狙った攻撃を防ぐことに特化したセキュリティツールです。今、Web上ではさまざまなサービスが提供されており、そうしたサービスを実現しているのが多種多様なWebアプリケーションです。サービスの高度化・多様化とともに、Webアプリケーションも高度化しており、十分なテストや検証を行っていても、思わぬ脆弱性が見つかることがあります。

ファイアウォールはWebアプリケーションを動かすための基盤といえるネットワークのセキュリティを守るものですが、Webアプリケーションの脆弱性まではカバーできません。Webサービス、Webビジネスを展開している企業にとって、Webアプリケーションファイアウォールはファイアウォール同様、欠かすことのできないセキュリティ対策の1つです。

IDS/IPSとの違いは?

IDS(Intrusion Detection System)は日本語で「不正侵入検知システム」、IPS(Intrusion Prevention System)は「不正侵入防止システム」で、ネットワーク上に設置されたサーバのセキュリティを守るためのハードウェア、あるいはソフトウェアのことです。

Webサーバでは、サーバOSやさまざまなミドルウェアが動いており、攻撃者はOSやミドルウェアの脆弱性を狙って攻撃を仕掛けてきます。IDSは不正なアクセスやその兆候を検知して管理者に通知し、IPSは不正な通信を監視してアクセスをブロックします。IPSとIDSは、OSやミドルウェアを外部からの攻撃から守るために連携して機能します。

ファイアウォール構築の相談ならNECフィールディングへ

NECフィールディングのファイアウォール構築サービスは、セキュリティ対策のファーストステップとして不可欠な存在となっているファイアウォールに関して、導入のためのコンサルティングから設計、構築、機器手配、操作教育までトータルにサポートします。

外部からの不正アクセスを防ぐとともに、内部からの不要なアクセスも制限するとこで、信頼性の高いセキュアなシステムを構築します。

  • 自社のネットワーク環境に合ったファイアウォールを構築したい
  • 社内の誰がどのようなアクセスをしているかわからず不安が残る
  • 公開するサービスへのアクセスのみを許可し、不要なアクセスを遮断したい
  • セキュリティ対策を始めたいが、何をどうしたらいいかわからない

などの課題は、NECフィールディングへご相談ください。

▼NECフィールディングのファイアウォール構築サービス
https://www.fielding.co.jp/service/security/firewall_construction/

お問い合わせはこちら

ファイアウォールはセキュリティ対策の第一歩

ファイアウォールはインターネット利用が当たり前になり、さらにはビジネスのインフラとなっている時代にセキュリティ対策の第一歩となるものです。

残念ですが、Webシステム、Webビジネスの進化とともに、不正アクセスや攻撃の手口も高度化・巧妙化し、その規模も広がっています。万一、情報漏えいやウイルス感染などが発生すれば、直接的な被害をもたらすばかりか、企業の評判や信頼を傷つけることになり、その影響は計り知れません。

関連サービス

関連記事

VPNとは?基本や仕組みについて徹底解説!
VPNとは?基本や仕組みについて徹底解説!

VPNは、仮想的な専用ネットワークを作り出し、安全に通信を行う技術です。ネットワークがビジネスに欠かせないものになり、セキュリティ対策が重要になっている今、VPNの活用は、企業の競争力を左右するといえます。
今回はVPNの基礎知識、VPNの4つの種類、メリット・デメリット、VPNプロトコルの種類、VPN選びのポイントなどを取り上げます。

詳細を読む
WPA3とは?機能やメリットについて解説!
WPA3とは?機能やメリットについて解説!

WPA3はWi-Fiセキュリティの最新規格で、WPA2で見つかった脆弱性に対応しています。
今回はWPA3と過去の規格の概要、WPA3の特徴、メリットなどを解説。さらにセキュリティが脆弱なWi-Fiを使い続けるリスクを考えます。

詳細を読む
DDos攻撃とは?攻撃の目的やDos攻撃との違い、対策方針まで解説
DDos攻撃とは?攻撃の目的やDos攻撃との違い、対策方針まで解説

昨今、サイバー攻撃が横行しており、さまざまな企業が被害を受けています。中でも、「DDoS攻撃」は防ぎにくいといわれているサイバー攻撃のひとつです。このDDoS攻撃とは、どのようなものなのでしょうか。
この記事では、DDoS攻撃について詳しく解説します。また、DoS攻撃との違いやDDoS攻撃の目的、対策方針なども紹介していきます。

詳細を読む
他の関連記事はこちら

発行元:NECフィールディング

お客さま事業・業務にお役立ていただける情報をお届けします。
ご相談はお問い合わせフォームよりご連絡ください。
※当社は法人向けサービスを提供しているため、個人のお客さまに対してはサービス提供できません。あらかじめご了承ください。

対象サービスの紹介