お問い合わせはこちら
  1. カゴヤのサーバー研究室
  2. ITエンジニア分室
  3. 情報セキュリティ
  4. 【入門】ファイアーウォールとは?機能や種類、仕組みをわかりやすく
情報セキュリティ

【入門】ファイアーウォールとは?機能や種類、仕組みをわかりやすく

公開
#セキュリティ対策 #ネットワーク #ファイアウォール

通信の通過・遮断を判断し、外部(インターネット)からの不正アクセスやサイバー攻撃、さらに内部ネットワークからの不正なアクセスも防ぐファイアーウォール。

ここでは、セキュリティ対策の基本であるファイアーウォールの機能や種類、仕組みについて、初心者向けにわかりやすく解説します。

ファイアーウォールとは

ファイアーウォール(Firewall)は、英語で「防火壁」という意味です。IT分野では、ネットワークの境界で通信をチェックし、不正アクセスなどの脅威から内部ネットワークを守るセキュリティ機能・製品を指します。

もう少し詳しく説明すると、ファイアーウォールはインターネットと内部ネットワークの境界で通信のパケット()をチェックします。あらかじめ設定したルールに基づき、安全と判断すれば通過を許可、不審と判断すれば通信を遮断し、管理者に通報します。
外部からの不正アクセスやサイバー攻撃だけでなく、内部ネットワークから不審なサイトなどへのアクセスを防ぐことも可能です。

※パケット:通信回線を効率よく使えるよう分割された「データのかたまり」

Q. ファイアーウォールは必要なの?

外部からの攻撃手段が多様化・巧妙化するなか、ファイアーウォールだけであらゆる攻撃を防ぐことはできません。しかし、他のセキュリティ対策でも万全なものは一つもなく、それぞれ得意とする防御範囲や防げる攻撃も異なります。

「ファイアーウォールがあれば大丈夫」とは言えないものの、ファイアーウォールを含めた複数の対策を導入することが重要です。

ファイアーウォールの基本機能

一般に、ファイアーウォールは以下の3つの機能を有しています。

  1. フィルタリング機能
  2. アドレス変換機能
  3. 監視機能

①フィルタリング機能

通信のパケットをチェックし、通信の通過・遮断を判断する機能です。通過の許可条件を登録すると、そのルールに則って通信の可否を判断します。

登録する情報が多い場合は、類似の設定をまとめたり、「通過させる通信以外はすべて遮断」と設定したりできます。定期的に条件の見直しや更新も必要なため、目標とする防御の強度や範囲により、更新しやすいルールを設定しましょう。

②アドレス変換機能

内部ネットワークで使用する「プライベートIPアドレス」と、インターネット上で使用する「グローバルIPアドレス」を変換する機能です。「NAT(ナット:Network Address Translation)」とも呼ばれます。

IPアドレスは、各ネットワーク機器の住所にあたる存在です。外部に知られると、攻撃の対象になりかねません。そのため各機器には内部ネットワーク専用のプライベートIPアドレスが付与され、外部へのアクセス時はNATが外部接続用のIPアドレスに変換。プライベートIPアドレスの漏洩を防ぎます。

また、NATを使用すれば、任意の通信を特定のコンピュータに誘導できます。これにより、部署や部門ごとにセキュリティレベルを分けることも可能です。

③監視機能

記録(ログ)の監視・追跡機能です。各種サーバーとファイアーウォールが稼働しているときは、通信のログが残ります。これを分析すれば「いつ、どのように攻撃を受けたか」が分かり、対策立案のヒントになります。

また、ファイアーウォールは遠隔操作も可能です。万が一不正アクセスを許した場合も、システムがすぐ担当者に通報。担当者は遠隔地からでも、ログの取得や設定変更を行えます。

種類とフィルタリングの仕組み

ファイアーウォールは、フィルタリングの方法により以下の3つの種類に分けられます。

  1. パケットフィルタリング型
  2. サーキットレベルゲートウェイ型
  3. アプリケーションゲートウェイ型

ただし近年は、上記の複数の方法を状況に応じて組み合わせ、実行する製品もあります。

①パケットフィルタリング型

ファイアーウォールのなかで最も代表的な種類であり、パソコンに機能が標準装備される場合にも採用されている方式です。パケットの先頭にある「ヘッダ」部分を判断材料とします。

ヘッダには、宛先(送信先)と発送元(発信者)ポートやIPアドレスの情報が記録されています。この情報を確認し、あらかじめ設定したフィルタリングのルールに基づいて通過と遮断の判断を行う仕組みです。

選別方法がシンプルで高速処理が可能ですが、IPアドレス自体が偽装されている場合の検知は困難です。また、柔軟にルールを設定できる一方、設定ミスがあると不正な侵入を招きやすいデメリットもあります。

②サーキットレベルゲートウェイ型

パケットフィルタリング型の発展型であり、パケット通信のアクセス制限に加えてポート()の指定や制御ができます

アプリケーションごとの設定ができるため、システムやソフトを限定して制御できます。また、IPアドレスの偽装にも有効と考えられています。

※ポート:各アプリケーションがデータをやり取りする出入口となる部分

③アプリケーションゲートウェイ型

Webサーバーやメールサーバーなど、アプリケーションのパケットを点検し、通過と遮断を判断する方式です。

ここでいう「ゲートウェイ(中継)」とは、インターネット側と内部ネットワーク側の「合間」を指します。
保護すべきネットワーク機器とインターネットを直接つなげず、中継場所を用意しているので、安全性を高められるのが特徴です。また、パケットフィルタリング型に比べ、なりすましやウイルス感染などの防御に効果があります。

ただし細かい制御の設定は難しく、パケットフィルタリング型より通信速度が遅いことがデメリットです。

Q. ファイアーウォールはどこに設置する?

ファイアーウォールは、インターネットと内部ネットワークの境界に設置するのが原則です。ただしWebサーバーやメールサーバーなどの公開サーバーがある場合、設置パターンは以下の3通りが考えられます。

  • 公開サーバーを含む全内部ネットワークをファイアーウォールの内側に置く
  • 公開サーバーのみファイアーウォールの外側に置く
  • ファイアーウォールを2台設置し、非武装地帯(DMZ)をつくる

すべてをファイアーウォールの内側に置けば、内部から公開サーバーへのアクセスが容易です。ただし公開サーバーから不正アクセスされると、内部ネットワーク内で被害が拡大する恐れがあります。一方、公開サーバーをファイアーウォールの外側に置けば、他の内部ネットワークの安全性は高まります。

最も安全性と利便性が高いのは、公開サーバーの外側と、他の内部ネットワークの外側の2か所にファイアーウォールを設置する方法です。このように、インターネットと内部ネットワークの双方から隔離された領域を「非武装地帯(DMZ)」といいます。

IDS/IPSやWAFとの違い

IDS/IPSとWAFの関係

不正アクセスなどの検知や遮断を行うツールは、ファイアーウォールの他にもIDS/IPSやWAFがあります。しかし、これらは得意とする守備範囲や防御できる攻撃が異なります

ファイアーウォールは、主にネットワーク層の保護を行います。これに対してIDS/IPSは、ネットワーク層に加えてWebサーバーやOSも保護対象とし、WAFはWebアプリケーションの保護に特化しています。

IDS/IPSとの違い

前述の通り、ファイアーウォールはネットワーク層に特化した保護を行い、IDS/IPSはWebサーバーやOSといった中階層も保護します。

ファイアーウォールとIDS/IPSは、活躍のしかたも異なります。
ファイアーウォールはパケットのヘッダ部分で宛先や発送元を確認し、通過と遮断を判断します。一方、IDS/IPSは不審な通信の有無を随時確認し、パケットの中身までチェック。設置位置も、インターネットと内部ネットワークの境界だけでなく、内部ネットワーク内に設置されるケースもあります。

IDS/IPSとは?機能や違い、種類をわかりやすく解説 

IDS/IPSとは?機能や違い、種類をわかりやすく解説 

IDS/IPSとは、ネットワークを監視し、不正アクセスや疑わしい通信を検知したり、遮断したりする機能です。サイバー攻撃や情報漏洩といった脅威を防ぐのに役立ちます。 ここではIDS/IPSの役割と違い、守備範囲、ファイアーウォールやWAFとの違い、種類などをわかりやすく解説しています。 IDSとは? IDSは「Intrusion Detection System」の略で、日本語では「不正侵入検知シス…

WAFとの違い

ファイアーウォールの保護対象は主にネットワーク層であり、基本的に外部からの攻撃の防御を得意としています。しかし、外部に公開済みのWebアプリケーションの保護はできません。

WAFは、主にWebアプリケーションの保護に特化したツールです。公開サーバー上のWebアプリケーションも保護できます。

WAFとは?仕組みや種類、対応する攻撃を分かりやすく解説

WAFとは?仕組みや種類、対応する攻撃を分かりやすく解説

年々増えている、Webアプリケーションの脆弱性を突いたサイバー攻撃。WAFはこうした攻撃を防ぐセキュリティ対策の一つで、Webサイトの安全な運営に欠かせません。今回はWAFの仕組みや種類、IDS/IPSやファイアーウォールとの違い、WAFで対応できる攻撃を解説します。 WAFとは何か WAF(ワフ)とは「Web Application Firewall」の略称で、サイバー攻撃からWebアプリケーシ…

ファイアーウォールの選定に迷ったら代行サービスの利用を

ファイアーウォールは、ソフトウェア製品として販売されていたり、ネットワーク機器に実装されていたり、専用のハードウェアが販売されていたりと、さまざまな提供形態があります。導入後は初回の設定を行い、さらに状況を見ながら継続的な運用が必要です。

設定や運用に不安がある場合は、専門性の高い技術者に委ねることも検討しましょう。
たとえばKAGOYAでは「KAGOYA FLEX」のオプションサービスとして「マネージド付ファイアーウォール」を提供。業界最安値で高機能な代行(マネージド)サービスをご利用いただけます。
まずは具体的な運用に向け、お気軽にご相談ください。

オンプレの使い勝手をそのままに

KAGOYA FLEX

カゴヤ・ジャパンは、自社国内データセンターを基盤に、月額4,400円の低価格からクラウド導入を強力サポート。
VMware ベースの仮想サーバーと物理サーバーの組み合わせで最適なコストバランスをご提案いたします。
回線引き込みや、ライセンスの持ち込みなど柔軟な対応も可能です。

関連記事

ランサムウェアの解説
情報セキュリティ

ランサムウェアとは?感染経路と被害、対策を分かりやすく解説

暗号化によりファイルを使用不能にし、身代金を請求するランサムウェア。 ここでは初心者でも分かるよう概要を簡単に説明するとともに、感染経路、起こり得る被害、予防対策、万が一感染した場合の対処法を解説しています。 目次ランサムウェアとはランサムウェアが危険な理由ランサムウェアの攻撃手法とトレンド三重/四重脅迫や破壊目的の攻 […]
カゴヤのサーバー研究室 編集部

カゴヤのサーバー研究室 編集部

クラウドのセキュリティについて
情報セキュリティ

クラウドセキュリティとは?リスクと対策、事業者の選び方

クラウド環境を利用する際には、保管しているデータ(情報)を様々なリスクから守るセキュリティ対策が必要です。 ここではクラウドサービス利用時の3つのリスクと企業が取るべき7つの対策、さらにサービス事業者の選び方を分かりやすく解説しています。 目次クラウドセキュリティとはクラウド利用における3つのセキュリティリスクリスク① […]
カゴヤのサーバー研究室 編集部

カゴヤのサーバー研究室 編集部

DDoS攻撃の解説
情報セキュリティ

DDoS攻撃とは?DoS攻撃との違いや代表的な攻撃手法・対策方法まで解説

DDoS攻撃は比較的古くから存在するサイバー攻撃ですが、現在でも大きな被害をもたらし続けています。世界の名立たる企業も攻撃の対象となっており、DDoS攻撃に関するニュースを目にする機会も少なくありません。DDoS攻撃の目的や対象はさまざまで、企業のサーバー担当者は対策を準備しておくことが必要です。 本記事ではDDoSと […]
小泉 健太郎

小泉 健太郎

この記事を書いたライター

カゴヤのサーバー研究室 編集部

カゴヤのサーバー研究室 編集部

カゴヤ・ジャパン(公式)

レンタルサーバー・ホスティングサービス提供実績20年を超える老舗のカゴヤ・ジャパンが、自社データセンターでサーバーの運用保守にあたっている経験豊富なスタッフのノウハウを公開します!

データセンター、ネットワーク、物理サーバーだけでなく、VMwareや、KVMベースのクラウドサーバー、Kubernetesによるコンテナ基盤、最新のHCI(ハイパーコンバージド・インフラ)やHPC(ハイパフォーマンス・コンピューティング)まで、自社が抱えるサービス群の豊富な運用経験からIT関連技術のトレンド情報をお伝えします!

カゴヤ・ジャパン
X (Twitter)
Facebook

このライターの記事一覧
情報セキュリティ一覧へ

Recommend