ファイアウォールの仕組みとは？導入するメリットと選び方！

2022.09.08（木）

運用・セキュリティ

情報セキュリティの重要性が指摘される現代においては、個人情報や組織の機密情報を守るために、必要なセキュリティ対策の種類やそれぞれの導入メリットを理解しておくことが重要です。
そこで今回は、セキュリティ対策の一つであるファイアウォールの仕組みについて解説していきます。

サイバー攻撃などの脅威とともに、さまざまなセキュリティ対策が存在する昨今、取り入れるべき対策手法に悩むことは少なくありません。
ファイアウォールとは何か、どのような仕組みでメリットは何なのかなどをチェックしたうえで、ファイアウォールが自社に必要な仕組みなのかを判断していきましょう。

ファイアウォールとは
ファイアウォールの仕組み
IDS/IPS・WAFとの違い
ファイアウォールの種類
ファイアウォール製品を選ぶ際のポイント
ファイアウォールでネットワークからセキュリティ対策を～まとめ～

ファイアウォールとは

情報セキュリティの重要性が取り上げられる以前から、パソコンやセキュリティソフトの機能などで名前を目にすることも多かったファイアウォールですが、具体的な意味や役割を説明できる人は意外と少ないものです。
ファイアウォールは重要なセキュリティ対策の一つなので、ファイアウォールの仕組みやメリットについては、取り入れる前に確認しておきたいところです。

ファイアウォールは、その名の通りネットワーク上における「壁」の役割を担っています。通信が行われる際にその通信を実行しても問題ないかどうかをIPアドレスなどをもとに判断し、通信の許可・不許可を出すのが特徴です。

近年、不正アクセスなどのサイバー攻撃を受ける企業の数は増加しています。

ファイアウォールの仕組み

ここからは、ファイアウォールについてより理解を深めていくためのポイントとして、ファイアウォールの具体的な仕組みについて重要なポイントを整理していきます。
ファイアウォールはどのようにアクセスの許可・不許可の判断を行っているのか、どの段階でチェックが行われるものなのか、ファイアウォールについてポイントを押さえてチェックしていきましょう。

ファイアウォールのアクセス制御の判断基準は、原則として前もって設定しているルール・ポリシーに基づいています。
また、ファイアウォールが存在する場所はネットワーク上、厳密にいうとネットワークとネットワークの境界上にに位置し、そこで通信を通過させて良いかどうかをチェックしています。

例えば、IPアドレスやプロトコルなどでアクセス許可をしても良いかどうかを判断し、不正なアクセスと判断した場合には、その通信を即座に遮断します。これがファイアウォールの基本的な仕組みです。

このようにファイアウォールは、あらかじめ決められたポリシーをもとにアクセスコントロールを行いますが、ここで注意すべき点があります。それは、ファイアウォールだけでは、脅威に対して万能に対応できるわけではないということです。

例えば、設定上通信が許可された場合でも、使用しているアプリケーションに何らかの脆弱性があれば、そこを突かれて不正アクセスなどの攻撃を許してしまう可能性があります。

ファイアウォールがネットワーク保護に大きく貢献してくれるのは間違いありませんが、ケースバイケースで防ぐのが難しい場合もあるということは認識しておく必要があります。

IDS/IPS・WAFとの違い

ファイアウォールと同様のセキュリティ製品には、IDS/IPS、WAFといったものがあります。
これらとファイアウォールにはどのような違いがあるのでしょうか。
それぞれが監視できる範囲をまとめると以下のようになります。

	ネットワーク	OS	ミドルウェア	Webアプリケーション
ファイアウォール	〇	×	×	×
IDS/IPS	〇	〇	△	×
WAF	〇	〇	〇	〇

このように見ると、それぞれ監視・脅威検知できる範囲が大きく異なることがわかります。
では、それぞれの特徴や仕組み、監視できる範囲の詳細を見ながら、よりわかりやすく違いを整理していきましょう。

IDS/IPSとの違い

まず、IDSはIntrusion Detection System（侵入検知システム）のことを指し、IPSは、Intrusion Prevention System（侵入防止システム）のことを指します。

IDSは不正アクセスなどの悪意のあるトラフィックを検出し、管理者へアラートを通知し、セキュリティ対応を促すためのものです。一方でIPSは、IDSの機能に加えて、当該の通信を即座に遮断し、防御する機能も有しています。

ファイアウォールは基本的に通信の方向やIPアドレスといった単純な情報でしか判断を行うことができませんが、IDS/IPSはシグネチャと呼ばれる不正アクセスの通信パターンと照合することで、より厳密に危険な通信を選別し、OSやミドルウェアへの攻撃まで防御することが可能です。

WAFとの違い

WAFはWebアプリケーションファイアウォールの略で、Webアプリケーションの通信に特化して不正アクセスを検知・防御できるのが大きな特徴です。Webサイトを狙った不正アクセスやサイバー攻撃が増加している昨今では、通信を幅広く保護するファイアウォールやIDS/IPSだけでは防御しきれないケースがあり、Webアプリケーションの通信に対象を絞って、より厳密に検査するWAFの重要性が高まっています。

WAFを利用すればアプリケーションレベルでの不正検知が可能になるため、サイバー攻撃の種類としてよくあるクロスサイトスクリプティング、SQLインジェクションなどの攻撃にも対応できます。

サイバー攻撃の種類	攻撃の内容
クロスサイトスクリプティング	Webサイトの脆弱性を狙うサイバー攻撃。サイトを訪れるユーザーの個人情報などを盗む目的で別サイトへの誘導を行う。XSSとも表記される。
SQLインジェクション	セキュリティの不備を突き、想定しないSQL文を実行させることでデータベースを破壊する。

Webアプリケーションはインターネット上に公開され、不特定多数の人が通信を行うことができるケースが多いため、特にサイバー攻撃の標的にされやすいといえます。

ファイアウォールの種類

続いてファイアウォールの種類・タイプについて整理していきましょう。
ファイアウォールは、主に3つのタイプに分けることができます。

パケットフィルタリング型
アプリケーションゲートウェイ型
サーキットレベルゲートウェイ型

では、それぞれのファイアウォールの特徴や仕組みを具体的に解説していきます。

パケットフィルタリング型

最も一般的なファイアウォールの種類にあたるのが、パケットフィルタリング型になります。通信が行われるたびに、流れている通信パケットのヘッダ情報を確認し、事前に設定したルールに反する通信がないかをふるいにかけていく仕組みです。
このときチェックされるヘッダ情報というのは、送信元と送信先のIPアドレス・ポート番号などのことで、通信内容そのものがチェックされることはありません。

アプリケーションゲートウェイ型

パケットフィルタリング型のファイアウォールがヘッダ情報だけを確認するのに対して、アプリケーションゲートウェイ型はその通信内容（アプリケーション同士のやりとりやデータ）まで詳細に検査を行い、不正アクセスに当たるかどうかを判断するのが特徴です。

「なりすまし」のような脅威に対する検知精度が高まる一方で、検査処理に時間がかかる場合がある、まれに誤検知が発生する、導入コストが高くなりがち、といったデメリットもあります。

サーキットレベルゲートウェイ型

サーキットレベルゲートウェイ型のファイアウォールは、パケットフィルタリング型とアプリケーションゲートウェイ型の中間に位置するタイプといえます。

アプリケーションゲートウェイ型のように特定のアプリケーションに特化したものではないため、アプリケーション同士のやりとりやデータまで詳細に検査をすることはできませんが、コネクションと呼ばれる通信の単位で監視を行うので、パケットフィルタリング型では防げないような不正アクセスを検知することが可能になります。

導入するメリット

ファイアウォールはネットワークに侵入してくる脅威からデバイスを守ってくれます。
そのため社内ネットワーク構築の際のセキュリティ強化のために、積極的に導入を検討するのが望ましいです。
特に期待できるメリットとして、以下が挙げられます。

不正なプログラムから保護できる
情報漏洩などを防止できる

それぞれのメリットにおける重要な点を解説していきます。

不正なプログラムから保護できる

ネットワークへの侵入は、サイバー攻撃の標的として常に狙われているといえます。
そのためファイアウォールを自社に取り入れてネットワークセキュリティの対策強化を行えば、不正なプログラムが送られることをネットワークレベルで止めることが可能です。

万が一ネットワークへの侵入を許せば、マルウェアの感染や情報を盗まれるといった、重大な問題につながる可能性もあります。しかし前もってファイアウォールで対策しておけば、不正侵入のリスクを抑えることができます。
最低限、ネットワークはファイアウォールで保護して、安心して通信できるネットワークの状態を作りたいところです。

情報漏洩などを防止できる

ネットワークの保護ができれば、情報漏洩防止につながります。悪意ある第三者のネットワークへのアクセスを拒否するため、個人情報や社内資料などの重要情報が外部へ流出するリスクを抑えられます。

万が一、情報漏洩が起これば、その後さらに被害が拡大しないように状況を把握し対策を打たなければならないため、大きく時間と手間をかけなければならなくなるでしょう。会社の規模にもよりますが、通常業務を圧迫することも考えられます。

また、原因がサイバー攻撃とはいえ大事な顧客データが外部に漏れてしまえば、顧客と企業とで賠償問題に発展することも想定されます。情報漏洩によって組織のイメージが落ちれば、顧客や世間からの信頼を回復するのには時間がかかることでしょう。

ファイアウォールを取り入れてセキュリティ対策を強化しておけば、このようなリスクを抑えられるのがメリットになります。

ファイアウォール製品を選ぶ際のポイント

ファイアウォールを導入してネットワークセキュリティ強化を徹底していく際には、自社に合った製品を選ぶことが重要です。
自社に適したファイアウォール製品を見つけるためには、主に以下の点を確認するのがおすすめです。

自社が求める要件を満たしているか
機能と価格のバランスが取れているか
サポート体制が充実しているか

それぞれのポイントを整理していきましょう。

自社が求める要件を満たしているか

まずはファイアウォール製品の機能を確認しましょう。そのうえで自社が求める要件を満たしているかどうかを調査していきます。

例えば、なりすまし対策を強化したい場合には、アプリケーションゲートウェイ型のファイアウォール製品を選ぶのが効果的です。このように欲しい機能や求める防御方法から逆算するかたちで、自社にマッチする製品を見極めていくことが望ましいです。

機能と価格のバランスが取れているか

せっかく新しい製品を導入するのですから、費用対効果が高いものを選ぶことも忘れないでおきましょう。
高機能なものは当然高額になりますが、自社にとって不必要な機能が多くついていては意味がなく、費用ばかりがかさんでしまいます。
必要な機能を考えたうえで、それらを満たす製品を割り出し、コストパフォーマンスを比較していくのが望ましいでしょう。
なお、ファイアウォール製品の多くは毎月定額の月額料金を支払う形式になっています。

サポート体制が充実しているか

ファイアウォールは常時運用していくセキュリティ製品になるため、できるだけサポートが充実しているものを選ぶのが重要です。

特にITに詳しい人材が自社に不足している場合は、困ったときにスピーディーに対応できる社員がいないため、サポートが不十分な製品を選んでしまうと後悔につながる可能性があります。
例えば、24時間体制で問い合わせ対応を行ってくれるベンダーなら、社内に詳しい人材がいなくても安心できるでしょう。

また、メンテナンスが必要になったときに対応してもらえるかなどの点もチェックしておきましょう。
サポートやコンサルティングなどに別途料金が必要な場合もあります。サポートの充実度を調べる際には、それらの料金についても確認しておくことをおすすめします。

最後に、サポート面で重要なポイントをご紹介します。
ファイアウォールを導入した後は、ファイアウォール自体の脆弱性対応（ファームウェアバージョンアップ）にも注意が必要になります。
この対応を怠ったことによって、ファイアウォールを足掛かりに不正アクセスを許してしまった事例が数多く報告されています。
ファイアウォール導入のメリットをしっかり受けるためには適切な運用が必要になりますので、自社で対応できない場合は信頼できる企業に依頼するようにしましょう。

＞＞ネットワークの脅威に24時間365日対応する「マネージドファイアウォールサービス」をチェック

ファイアウォールでネットワークからセキュリティ対策を～まとめ～

ファイアウォールは歴史の古いセキュリティ対策の一つとして知られているため、存在自体は知っている人も多いですが、具体的な仕組みについては本記事で初めて知ったという人も少なくないかと思います。
社内ネットワークにファイアウォールの導入を考えるなら、仕組みも含めて詳細な情報を前もって理解しておくことは非常に重要です。

サイバー攻撃はインターネットそのものやクラウドサービスなどの普及に伴い、日々形を変えて行われています。知らない間にネットワークやデバイスを攻撃の標的にされてしまわないよう、ファイアウォールによるセキュリティ対策は積極的に検討することをおすすめします。