【初心者向け】ファイアウォール(FW)の仕組みや機能、IDS/IPS・WAFとの違いを紹介
外部のネットワークと内部のネットワークを結ぶ箇所に導入することで、外部からの不正な侵入を防ぐことができるシステム、またはシステムが導入された機器のことを、ファイアウォール(FW)と言います。今回はファイアウォールとは何か、どのような仕組みで動作しているのか、またWAFやIDS/IPSとの違いについても解説します。
この記事で紹介している
サービスはこちら
- 目次
ファイアウォールとは
ファイアウォール(Firewall)は直訳すると「防火壁」で、その名の通りインターネットを通じた不正アクセスやサイバー攻撃などから壁の内部にあるネットワークやサーバー・PC、データを守る機能を持ちます。WindowsやMacなどPC用の主要なOSには必ず搭載されていることからもその重要性は想像できるでしょう。
一方、iPhoneやiPadなどで使用するiOSや、スマートフォンやタブレットなどで使用されているAndroid等、モバイル機器のOSには標準でファイアウォールの機能は搭載されていません。それらの機器においてファイアウォールの機能が必要な場合には、セキュリティ対策アプリ・ソフトなどを別途インストールする必要があります。
ファイアウォールの仕組み
ファイアウォールの仕組みをもう少し詳しく見てみましょう。ファイアウォールは、送受信するデータを監視して通信の可否を判断します。保護する対象、つまり壁をどこに設置するかにより「パーソナルファイアウォール」と「ネットワーク用ファイアウォール」とに大別されます。
パーソナルファイアウォール
パーソナルファイアウォールは、パソコン(PC)を保護する働きを持つファイアウォールです。外部からPCへの不正なアクセスを防止するほか、PCから外部への不正な通信を遮断することもできます。
先ほど紹介したOSに標準搭載されているもののほか、別途インストールして使用するものもあります。
ネットワーク用ファイアウォール
それに対し、ネットワーク用ファイアウォールは社内ネットワークなどネットワーク全体を保護する働きを持ちます。従来はインターネット回線と社内ネットワークなどとの間に専用のハードウェア製品を設置するものが主流でしたが、近年はクラウドサービスとして提供されるものもあります。
ファイアウォールの種類
では、ファイアウォールは具体的にどのような方法で通信の可否を判断しているのでしょうか。監視・制御の方式には、主に次の3種類の形式があります。
パケットフィルタリング型
「パケットフィルタリング型」は、通信されるデータを「パケット」と呼ばれる小さな単位ごとに分析する方式です。具体的には、あらかじめ送信元/送信先(IPアドレス・ポート)をルール設定し、通信の可否を判断します。
パケットのヘッダー情報を検査するのみで処理が単純なため、通信速度を確保できるというメリットがありますが、仕組み上、パケットの中身までは検査しないため偽装されたパケットの検知や、アプリケーションの脆弱性を狙った攻撃を防ぐことはできません。一般的なセキュリティ対策法として知られています。
アプリケーションゲートウェイ型
「アプリケーションゲートウェイ型」は、HTTP、FTPなどのアプリケーションプロトコルごとに検査・制御します。パケットフィルタリング型より詳細に通信の制御が可能で、なりすまし型の不正アクセスの防御に強いです。内部コンピューターの代理(Proxy)でアプリケーションの通信を行うため、「プロキシ型ファイアウォール」とも呼ばれます。外部からは壁の内部が見えなくなるためセキュリティ性能は高くなりますが、その反面、データの中身まで解析するため処理に時間がかかり通信速度が低下するというデメリットがあります。
サーキットレベルゲートウェイ型
「サーキットレバルゲートウェイ型」は、コネクション単位で通信可否を判断する方式です。パケットフィルタリング型の機能に加え、ポートを指定することによって通信の可否を設定できます。コネクション単位なので、パケットフィルタリング型では防げない送信元IPアドレスの偽装を防ぐことができます。また、アプリケーションごとの設定が可能なため、特定のシステムやソフトウェアの通信制御を行う際にも有効です。
ファイアウォールの機能・役割
実際にファイアウォールはどのような機能があるのでしょうか。ファイアウォールの機能や必要性を見てみましょう。
図1 ファイアウォールの機能・役割
通信のフィルタリング機能
最も重要な機能は「通信のフィルタリング」です。あらかじめ送信元/送信先(IPアドレス・ポート)をルール設定しておき、許可した通信のみを通し、許可されていない通信を遮断することで、セキュリティを確保する役割を持ちます。
IPアドレス変換機能
インターネットで使用する「グローバルIPアドレス」と、社内ネットワークで使用する「プライベートIPアドレス」間で相互にIPアドレスを変換(NAT)する機能があります。これにより、社内のPCを秘匿し、セキュリティを確保することができます。
遠隔管理、ログ監視機能
ファイアウォールにはリモート管理機能があり、管理者は遠隔地からブラウザ上で管理運用することができます。また、ログ監視の機能を活用し、不正なアクセスを検知した場合は管理者への通知を行ったり、ログを監視・調査することでリアルタイムに対応することができます。
ファイアウォールだけではセキュリティ対策は不十分
IDS/IPS・WAFとの併用が必要
ここまでファイアウォールでサイバー攻撃を防ぐ働きを説明しましたが、ファイアウォールのみですべての攻撃を防ぐことができるわけではありません。
図2に示すように、ネットワークでの通信機能を7階層に分けて定義した「OSI参照モデル」のうち、ファイアウォールで防ぐことができるのは、主に「データリンク層」「ネットワーク層」「トランスポート層」の3階層のみです。それ以上の階層まで防御するには、「IDS/IPS」、「WAF」との併用が必要です。
図2 OSI参照モデルとネットワークセキュリティシステム
ファイアウォールとIDS/IPS・WAFとの違い
図3 各セキュリティシステムと防御できる攻撃
IDS/IPSとの違い
IDS(Intrusion Detection System)、IPS(Intrusion Prevention System)はそれぞれ「不正侵入検知システム」、「不正侵入防止システム」を指します。IDS/IPSはファイアウォールと同じく、ネットワーク上の通信を監視して通信の可否を判断するセキュリティシステムですが、OS/Webサーバーの脆弱性を突いた攻撃を防ぐことに特化しており、これらの攻撃を防ぐことができます。
WAFとの違い
WAF(Web Application Firewall)はWebアプリケーションの脆弱性を突いた攻撃からの防御に特化したセキュリティシステムです。SQLインジェクション、クロスサイトスクリプティング、OSコマンドインジェクションなど、正常なリクエストを装っているためファイアウォールでは検知することのできない攻撃を防ぐことができます。
NTTPCの「クラウドWAF」なら
ファイアウォールを含めた多層防御による対策が可能
NTTPCの「クラウド型WAFセキュリティオペレーションサービス」は、ファイアウォール機能にIDS/IPS、WAFを加えたクラウド型サービスです。オプションとしてDDoS機能も用意し、ワンストップで安心安全な多重防御環境を提供します。
特に個人情報などの重要なデータを取り扱うサイトを運営している企業さま、セキュリティ対策を一元管理したい企業さま、パブリッククラウド上のWebサイトのセキュリティ向上を検討している企業さまなどにお勧めです。
まとめ
今回はファイアウォールとは何か、どのような仕組みで動作しているのかを解説するとともに、ファイアウォールと比較されることの多いIDS/IPS、WAFとの機能の違いや守備範囲の違いについて解説しました。
自社のシステム・サービスで個人情報などの重要なデータを取扱っている場合や、自社Webサイト・ネットワークのセキュリティを課題としている場合には、今回の記事を参考として自社のファイアウォールの見直しのほか、IDS/IPSやWAFといったセキュリティシステムとの連携を確認・検討してみてはいかがでしょうか。
※ICT Digital Columnに記載された情報は、リリース時点のものです。
商品・サービスの内容、お問い合わせ先などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。
