ファイアウォールとは？役割や種類、導入のメリットを解説

セキュリティ対策を実施していないと、個人情報や機密情報の漏えい、システムの破壊、サービス停止など、さまざまな被害に遭う可能性があります。

皆さまは、どのようなセキュリティ対策を実施していますか？使用しているパソコンにウイルス対策ソフトをインストールしたり、ファイアウォールを設置したりと何かしらの対策を実施されている方が多いのではないかと思います。本稿では、セキュリティ対策の基本となるファイアウォールの役割と種類について解説します。セキュリティ対策を身近な事と捉え、できることからセキュリティ対策に取り組んでいきましょう。

ファイアウォールとは

その名の通り、防火壁としての意味を持ち、外部から侵入してくる不正なアクセスを防御するためのセキュリティ製品や機能のことを指します。

一般的なファイアウォールのイメージとしては、企業や家庭などのネットワークにおいて、信頼できるネットワークとそうでないネットワークの境界で通信の行き来を監視することを思い浮かべる方が多いかもしれません。ファイアウォールは、通信の送信元とあて先の情報となるIPアドレス、ポート番号、プロトコル、通信方向をもとに通信の許可／拒否を判断しますが、これは実生活において、スポーツ観戦やコンサート会場へ行く際のチケット確認などにも例えることができます。会場、入場ゲートが合っているかの確認はもちろんのこと、会員制など身分証明が必要なこともあります。（あて先のIPアドレスとポート番号、送信元IPアドレスの条件で通信が許可されているか）

※ここでの説明は、通信パケットを分類して許可/拒否を判断する一般的なパケットフィルタリング型のファイアウォールをもとにしています。パケットフィルタリングにもいくつかの方式があるほか、プロキシサーバー（代理サーバー）として内部コンピュータの代わりにアクセスしてセキュリティを向上するアプリケーションゲートウェイ型、プロキシ型に分類されるファイアウォールもあります。

導入事例

WAF製品/SiteGuard（サイトガード）シリーズの導入事例をご紹介しています。

ファイアウォールの役割

企業などのネットワークで使用するファイアウォールは、インターネットと社内ネットワークの境界に設置し、外部からの不正アクセスを防御し、社内ネットワークを保護します。家庭で利用するネットワークにおいてもブロードバンドルーターが利用されることが一般的になっており、ブロードバンドルーターのファイアウォール機能により、家庭内ネットワークが保護されています。なお、ファイアウォールは、外部からの不正アクセスを監視して防御するだけでなく、内部不正を防ぐ目的であったり、万一のウイルス感染による外部通信を防ぐなど、社内や家庭内ネットワークからの通信を制御する役割を果たすこともできます。ファイアウォールを大別すると、ネットワークの境界で通信の行き来を監視するファイアウォールのほかに、クライアントやサーバーに導入してコンピュータ自身を保護するパーソナルファイアウォールに分けられます。

ファイアウォールの種類

ファイアウォールは、その仕組みにより、いくつかに分類されますが、代表的なものをご紹介いたします。それぞれの特徴を見ていきましょう。

 パケットフィルタリング型

通信を細分化したパケット単位で解析し、事前に設定されたルール（特定のサービス、ソフトウェアの通信）に基づいて、条件と一致しないアクセスを効率的にフィルタリングすることができます。パケットフィルタリング型のファイアウォールとして、iptablesなどが挙げられます。また、パケットフィルタリング型は、防御方法等により、さらに細分化されています。

 スタティックパケットフィルタリング

スタティックパケットフィルタリングは、パケットのヘッダ（送信元や宛先などの情報を記録）から、送信元/宛先のアドレス、ポート番号、通信プロトコル、TCP/UDPのトラフィックを参照し、通信の許可や拒否を行います。シンプルな仕組みとなり、パケットの中身を精査しないため、比較的高速な処理が行える反面、パケットの偽装やアプリケーションの脆弱性を狙った攻撃は検出できません。

 ダイナミックパケットフィルタリング

ダイナミックパケットフィルタリングは、通信に使用するポートを必要に応じて動的に割り当て、通信の許可や拒否を行います。必要な場合のみ、ポートの開閉を行うため、通信のセキュリティを確保することができます。

 ステートフルパケットインスペクション

ステートフルパケットインスペクションは、現在の通信に矛盾点がないか、コンテキスト（過去のパケット通信履歴を記録したもの）から判断する仕組みとなります。高いセキュリティ性をもつ反面、コンテキストを記録する必要がある仕様上、大量アクセスが主体の攻撃（DoS攻撃）には弱い一面もあります。

 アプリケーションゲートウェイ型

アプリケーションゲートウェイ型は、プロキシ型やゲートウェイ型とも呼ばれますが、外部との通信において、中継サーバーとして通信を行うファイアーウォールです。パケットの中身まで検査を行うため、特定の通信に対してアクセス制御を行うことができるため、パケットフィルタリング型と比べ、セキュリティレベルは高いといえますが、検査の情報量が多くなることから、通信速度が遅くなる傾向があります。

 サーキットレベルゲートウェイ型

サーキットゲートウェイ型は、従来のパケットフィルタリング型の機能に加え、トランスポート層のセッション単位で、任意のポートを制御する機能を追加したファイアウォールです。アプリケーション毎に設定を行うことが可能なため、特定のシステムやアプリケーションの通信を制御する場合に、有効となります。

 パーソナルファイアウォール

パーソナルファイアウォールという用語は、一般的なファイアウォール製品と区別するために用いられますが、主に個人向けパソコンで使用されるファイアウォールを指すことが多く、ウイルス対策ソフトウェアメーカーが販売している統合クライアントセキュリティ製品に組み込まれたファイアウォール機能は、パソコン初心者やセキュリティに詳しくない人でも使えるように予め推奨されるルールが設定されているのが一般的です。ネットワークを保護するファイアウォール同様に、外部から侵入してくる不正なアクセスを防御することで、ウイルスの侵入などからパソコンを保護することができます。セキュリティやファイアウォールの設定に詳しい人の場合、パソコンにインストールされているアプリケーション毎に送受信のルールをカスタマイズするなど、利用環境に応じて柔軟な設定を行うこともできます。企業向けの統合クライアントセキュリティ製品を利用している場合、システム管理者によって企業のセキュリティポリシーに適合したルールが配信されるようになっているなど、ユーザーが意識することなくパソコンが保護されていることも多いでしょう。

ファイアウォールは、WindowsやMac、LinuxといったOSにも実装されています。単体機能のウイルス対策ソフトを使用している場合など、OSに実装されているファイアウォール機能を有効に活用してクライアントパソコンやサーバーのセキュリティを向上するようにしましょう。

ファイアウォールとWAFの違い

同じファイアウォールという単語を含むセキュリティ製品としてウェブアプリケーションファイアウォール（Web Application Firewall）があります。それぞれの単語の頭文字からWAF（ワフ）と呼ばれており、ウェブアウェブアプリケーションの脆弱性を悪用する攻撃を検出・防御し、ウェブサイトを保護するためのセキュリティ製品です。ファイアウォールは、通信の送信元やあて先の情報をもとに通信の許可／拒否を判断しますが、通信の内容は見ません。これに対してWAFは、ウェブサイトへのアクセスについて通信の内容を検査することで、ウェブサイトのデータベースから個人情報を盗み出す攻撃やウェブサイトの改ざんなどの攻撃を検出・防御します。同じファイアウォールという単語を含み、外部から侵入してくる不正なアクセスを防御するという点では同じですが、ファイアウォールとWAFが果たす役割は異なるため、一般的なファイアウォールとは別のセキュリティ対策として分類されます。

関連記事：WAFとファイアウォールの違いとは？

ファイアウォールとIDS/IPSとの違い

ファイアウォールと混同されることの多い製品として、IDS/IPSが挙げられます。IDS/IPSは、いずれもOSやミドルウェアを対象としたネットワークセキュリティ製品となりますが、IDS（Intrusion Detection System）は、侵入検知システムと呼ばれ、ネットワークやシステムに対する外部からの不正アクセスなど、攻撃の兆候を検知し、管理者に通知を行います。また、IPS（Intrusion Prevention System）は、侵入防止システムと呼ばれ、IDSの侵入検知に加えて、外部からの不正アクセスから、システムやネットワークを保護する機能を有しています。

一方、ファイアウォールは、外部ネットワークと内部ネットワーク間のパケット（通信の送信元/宛先）を監視し、通信の拒否や許可を行います。ファイアウォールが、通信の送信元や宛先をもとに、通信の許可／拒否を判断することに対し、IPS/IDSでは通信データの内容を検査し、検知や防御を行うことから、監視対象や守備範囲が異なる製品であることがわかります。これらの製品を組み合わせることで、より強固なセキュリティ対策となり、システムを保護することができます。

関連記事：WAFとファイアウォール、IPSの違い

ファイアウォールについてよくある質問

質問① ファイアウォールとは、どのようなものですか

回答① 外部から侵入してくる不正なアクセスを防御するためのセキュリティ製品です。

質問② なぜ、ファイアウォールを導入するのでしょうか？

回答② ネットワークを利用する上で発生する、不正アクセスなどのリスクを防ぐために導入します。

質問③ ファイアウォールには、どのような導入方法がありますか？

回答③ ファイアウォールは様々な形で提供されています。ファイアウォールの専用機器(アプライアンス)やサーバー上で動作するソフトウェア、また、ファイアウォール機能を有した、ルーター等のネットワーク機器もあり、クラウド上で利用可能な仮想アプライアンスも増えてきています。利用環境や要件に応じた導入方法、選択肢があります。

質問④ ファイアウォールを導入した場合、ウイルス対策は不要ですか？

コンピュータ・ウイルスの感染経路は、多岐に及んでおり、ファイアウォールのみで防ぐ事はできません。別途、コンピュータ・ウイルスの対策が必要です。

WAFとは

Webアプリケーションファイアウォール（WAF：Web Application Firewall）は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。