ファイアウォールの種類
ファイアウォールは大別すると「パケットフィルタリング型」と「ゲートウェイ型」「サーキットゲートウェイ型」の3種類です。
ただし、この「3種類」は主に通信の制御方式(フィルタリング手法)で見た整理です。実務では、設置場所(境界・内部・DMZ)や形態(ハード・ソフト・クラウド)など、分類軸によって呼び方が変わります。
まずは代表的な方式を、早見で整理します。
| 種類(方式) | 特徴・向くケース(概要) |
|---|---|
| パケットフィルタリング型 | 通信の送信元・宛先などを基に許可/拒否を判断します。基本的な制御をシンプルに実装したい場合に検討されます。 |
| ゲートウェイ型(アプリケーションゲートウェイ型) | アプリケーション単位で通信内容を確認し制御します。細かなルールで制御したい場合に向きます。 |
| サーキットゲートウェイ型 | セッション(接続)単位で通信を監視し制御します。方式の理解を深めたい場合の比較軸になります。 |
パケットフィルタリング型
パケットフィルタリング型は、通信を細かな単位(パケット)で確認し、送信元・宛先などの情報に基づいて制御します。比較的シンプルに導入しやすく、基本的なアクセス制御を行いたい場合に選ばれます。
スタティックパケットフィルタリング
あらかじめ決めた条件に従って、通信を許可または拒否します。ルールが明確なため、制御方針を決めやすい一方で、要件変更時はルールの見直しが必要です。
ダイナミックパケットフィルタリング
通信状況に応じて、許可/拒否の条件を動的に切り替える考え方です。固定ルールだけでは対応しにくいケースに備える目的で整理されます。
ステートフルパケットインスペクション
通信の状態(セッション)を把握しながら、パケットを検査して制御します。単純な条件一致だけでなく、通信の流れも踏まえて判断できる点が特徴です。
ゲートウェイ型
ゲートウェイ型は、アプリケーションレベルで通信を確認し、不正なアクセスをブロックします。利用するサービスや通信の種類に応じて、より細かな制御を行いたい場合に検討されます。一方で、確認する内容が増えるほど、設計や運用の負担が増えることがあります。
サーキットゲートウェイ型
サーキットゲートウェイ型は、通信の接続(セッション)を監視して制御する方式です。通信の中身そのものではなく、接続の成立や状態を基に判断する点が特徴です。
補足:設置場所でも「種類」を整理できます
ファイアウォールは方式だけでなく、どこに置くかでも語られます。代表例は、インターネットとの境界、社内ネットワークの内部、外部公開用のDMZです。守りたい範囲や通信経路によって、必要な構成が変わります。
補足:形態や世代による呼び方もあります
ハードウェア型/ソフトウェア型/クラウド型(サービスとして提供される形)など、提供形態で分類する場合があります。また、従来型に加えて、より広い範囲を確認できる次世代型(NGFW)や、複数機能を統合した考え方(UTM)として整理されることもあります。
そもそもファイアウォールとは?
ファイアウォールとは、そもそもどのようなシステムなのでしょうか。ここではファイアウォールの基本を紹介していきます。
不正アクセスをブロックするツール
ファイアウォールは、ネットワーク上の悪意のあるアクセスをブロックするセキュリティシステムです。「外部からの不正アクセス」や「ネットワーク攻撃」から、内部コンピュータを守るためのソフトウェア・ハードウェア全体を指します。
インターネットは非常に便利なサービスですが、匿名性が高いため、以下のような犯罪に利用されることもあります。
- ■コンピュータに不正アクセスし個人情報を盗む
- ■不正プログラムを実行させ、犯罪に協力させる
- ■悪意のあるスクリプトを送りつけログインパスワードを盗む
このようなネットワーク上の脅威は排除されるべきですが、インターネット上には交番のような機関はありません。そのような背景から、不正なアクセスをブロックするファイアウォールが誕生しました。
内部環境と外部環境の間に存在している
ファイアウォールは、内部環境と外部環境の中間地点に存在し、コンピューターや内部ネットワークへの不正アクセスを防止しています。内部と外部の唯一の玄関口に設置するのがポイントです。
ルータも外部と内部の間に設置するため似ていますが、ファイアウォールのほうがアクセス制御の性能が高いといえます。
ファイアウォールの必要性
ファイアウォールを導入する必要性とは何でしょうか。ここでは、ファイアウォールがネットワークセキュリティの基本となる重要なシステムということを再確認していきましょう。
不審な通信をブロックする「防火壁」と呼ばれている
ファイアウォールは、日本語で「防火壁」と訳されるシステムです。ファイアウォールがなければ、攻撃者はいとも簡単に内部ネットワークへ侵入できるでしょう。内部ネットワークと外部ネットワークとの間に立つ、ガードマンと呼べる存在がファイアウォールです。
ファイアウォールはセキュリティの基本である存在
ファイアウォールはすべてのネットワークサービスに導入されていると言っても過言でないほど、基本的なセキュリティシステムとして知られています。ほぼ全ての有料ウイルス対策ソフトに搭載されており、WindowsなどのOSにもデフォルトとして導入されています。
無料のソフトでも搭載されていることが多いですが、簡易的と言わざるをえません。そのため、ネットワークセキュリティが必要な環境で利用するなら、有料のファイアウォールをおすすめします。
「自社に合うファイアウォール製品を診断してから資料請求したい」、「どんな観点で選べばいいかわからない」という方向けの診断ページもあります。
ファイアウォールとWAFの違い
ファイアウォールと似たセキュリティ対策の1つとして「WAF」があります。WAFとファイアウォールは、不正アクセスなどの攻撃からコンピュータを守るという点は同じですが、明確に異なる点があります。ここからはファイアウォールとWAFの違いを説明します。
WAF:Webアプリケーションのファイアウォール
WAF(Web Application Firewall)は、その名のとおりWebアプリケーションに特化したファイアウォールです。一般的なファイアウォールとは違い、アプリケーション層で作動し、悪意ある攻撃から守ります。
アプリケーションの脆弱性を狙った攻撃に強く、Webサイトの脆弱性を利用した攻撃手法であるクロスサイトスクリプティングやWebアプリケーションの設計上の脆弱性を狙ったSQLインジェクションなどの、最新マルウェアにも対応可能です。
ファイアウォールとの違いは「守備範囲」
WAFとファイアウォールの大きな違いは、ネットワーク攻撃に関する守備範囲です。
- WAFの対象範囲
- Webアプリケーション
- ファイアウォールの対象範囲
- ネットワーク通信
ネットワーク攻撃は、外部ネットワークから内部ネットワークに侵入し、アプリケーションに不正アクセスすることで被害を拡大させていきます。WAFならアプリケーションレベルで対応できるため、一般的なファイアウォールより上位の攻撃も防げます。
ファイアウォールは外部ネットワークから侵入する不正アクセスはブロックします。しかし、http(80番)やhttps(443番)ポートを利用した通信を防ぐことはできません。一方、WAFなら通信の中身までチェックできるので、http(80番)/https(443番)ポートを利用した攻撃にも対応可能です。
自社に合うファイアウォールの選び方
ファイアウォールは種類(方式)だけでなく、守りたい対象や運用方法で選定の観点が変わります。比較検討の前に、社内要件を整理しておくと候補を絞り込みやすくなります。
守りたい対象で考える(拠点/サーバ/クラウド)
まずは、拠点間通信、社内ネットワーク、外部公開サーバなど、守る対象を明確にします。通信経路が増えるほど、設置場所(境界・内部・DMZ)や構成の検討が必要になります。
運用で考える(ログ・監視・更新)
次に、ログの取得・監視、ルール変更の頻度、アップデートなどの運用を想定します。運用負荷が大きい場合は、管理方法や体制に合う形態を選ぶことが重要です。
併用で考える(WAFなど)
Webサイトを運用している場合は、WAFなど周辺対策との役割分担も確認します。「ネットワークを守るのか」「Webアプリケーションを守るのか」を切り分けると、必要な対策が整理できます。
ファイアウォールの種類を知り自社に合った対策をしよう
ファイアウォールは、方式で見ると「パケットフィルタリング型」と「ゲートウェイ型」「サーキットゲートウェイ型」を軸に理解できます。一方で、設置場所や形態など別の分類軸でも語られるため、自社の前提に合わせて整理することが大切です。
以下の記事ではファイアウォールのおすすめ製品から選び方まで紹介しています。記事を読んでファイアウォールに興味を持たれた方はぜひご一読ください。
