ファイアウォールとは

　ファイアウォールとは、セキュリティ対策のひとつであり、ネットワーク通信上で動作するソフトウェア・アプリケーションである。ファイアウォールの具体的な役割と、その仕組みについてみていこう。

●ファイアウォールの役割
　ファイアウォールは、ネットワーク通信において、その通信の可否を判断し許可する、または拒否することで、セキュリティ対策のひとつとしての役割を持つ。


　ファイアウォールの語源は、火災などから建物を防御するための防火壁である。防火壁は、火災発生時に急激な延焼拡大を最小限に食い止める機能を持つ壁のことだ。

　インターネットでは、外部ネットワークからの攻撃や、不正アクセスを火事と見立て、防御の機能を持つソフトウェアやルーターのようなハードウェアをファイアウォールと呼ぶようになった。

　個人のパソコンでは、OSに組み込まれているファイアウォール機能を使うか、ウイルス対策ソフトの一機能として提供されているものを使うことが多い。

●ファイアウォールの仕組み
　ファイアウォールは、「ネットワークから送られてくるデータを通過させるか拒否するか」を、何らかの方法で判断して不正アクセスなどを防止する仕組みである。「通信をどう扱うか」の判断は、通信の送信元とあて先の情報（パケット）から判断され、通信の内容は見ていない。

　この仕組みを荷物の配送に例えると、「送り主とあて先などの情報は見ているが、その荷物の中身は見ていない」ということになる。パケットを「通過させるか」「拒否するか」は、パケットそのものが不正かどうかを確認したり、許可されたパケットかどうかを確認したりすることで判断するのだ。

　ファイアウォールには、2タイプある。主に、エンドユーザーが操作するパソコンに導入するパーソナルファイアウォールと、社内LANとインターネット回線との間に設置してネットワーク全体を保護するファイアウォールだ。


　LANがあったり、保護する端末を多く有したりする企業の場合、パーソナルファイアウォールに加えて、ファイアウォール機能を持つルーターなどの機器を使い、ネットワーク全体も保護してより高いセキュリティを保つのが一般的だ。


　ファイアウォールの主な機能は、パケットのフィルタリング機能だが、その他にもアドレス変換機能や遠隔操作・監視機能を持つものもある。製品によってサポートされている機能に違いがあるため、導入製品の検討時は、機能比較が欠かせない。

ファイアウォール導入のメリット

　ファイアウォールを導入するメリットは、主に以下の2点である。

　これらのメリットについて、詳しく解説する。

●会社自体を不正なプログラムから保護できる
　会社全体を不正なプログラムから保護できる点は、ファイアウォール最大のメリットだ。さらに、ネットワーク全体に用いるファイアウォールも導入して二重の防御をすることで、より高いセキュリティを実現できる。

　パーソナルファイアウォールだけでは、従業員が個人で設定を変えてしまい、ファイアウォールが無効になっていた場合に、セキュリティの穴ができてしまう。社内ネットワーク全体を守るファイアウォールで二重の壁を作っておくことで、個人で設定を変えたとしても不正アクセスからの防御ができる。

●情報漏えいなどによる社会的な問題発生を防止
　ファイアウォールがないと、外部からの不正アクセスをすべて受けてしまう。結果、コンピューターウイルスへの感染、ハッキングによる機密データなどの情報漏えいが発生する確率が高まる。OSやWebブラウザ、プログラミング言語のぜい弱性の情報は世の中にまん延しており、基礎的な知識があれば、容易にハッキングができる状況だ。

　不正アクセスによって、顧客情報や機密情報の漏えいが発生。セキュリティ事故が発覚すると、社会的な信用を失い、対策にも膨大な費用がかかる危険性がある。ファイアウォールの導入は、企業の社会的な信用を守り、企業活動を守る意味でも重要だ。

ファイアウォールの種類

　ファイアウォールは、防御の方法によって、以下のように分類される。

　それぞれの特徴について詳しく見ていく。

●パケットフィルタリング型
　パケットフィルタリング型は、以下の情報を基に通信を制御する。

　WindowsやMacなどのパソコン端末に標準装備されているファイアウォールは、基本的にパケットフィルタリング型だ。パケットフィルタリング型は、さらに3種類に分類される。

・スタティックパケットフィルタリング
　あらかじめ定義された内容で、パケットの許可・拒否を判断するタイプだ。スタティックパケットフィルタリングでは、「A→B」と「B→A」双方のやり取りを許可するように記載する。

・ダイナミックパケットフィルタリング
　通信のやり取りをファイアウォールが記憶し、一度でも通信が成立していれば動的にパケットを許可するタイプ。「A→B」という通信が成立していれば、自動的に「B→A」のやり取りも許可する。

・ステートフルパケットインスペクション
　通過した通信を履歴として記憶し、新たな通信を履歴と照合して不審な通信を遮断するタイプ。安全性が高い一方、DoS攻撃には弱いという側面もある。

●サーキットレベルゲートウェイ型
　サーキットレベルゲートウェイ型は、TCPやUDPなどの通信を代行し、そのプロトコルの「セッション状態」を基に通信を制御する。外部からは、ファイアウォールと直接やり取りしているように見える。パケットフィルタリング型にプラスして、ポート指定や制御ができ、使用するアプリケーションごとのきめ細やかな制御も可能だ。

●アプリケーションゲートウェイ型

　アプリケーションゲートウェイ型は、アプリケーションの通信（HTTPやFTP）を代行し、その「データの中身」を基に通信を制御。高度な制御ができるが、処理が多い分、通信速度が遅くなることもある。

　アプリケーションゲートウェイ型は、ネットワークの制御だけでなく、アプリケーションレベルでの制御も可能だ。たとえば、「SQLインジェクション」「クロスサイトスクリプティング」「パラメータ改ざん」といったセキュリティ攻撃は、他の種類のファイアウォールでは防げない。しかし、アプリケーションゲートウェイ型なら、これらの攻撃をブロックできる。

　アプリケーションゲートウェイ型は、プロキシサーバなどに用いられ、主に大企業や大規模な組織に用いられるタイプだ。

【次ページ】企業が導入するべきファイアウォールの種類