ファイアウォールとは?仕組みや種類・必要性について

ファイアウォールとは?基本的な仕組みや種類・必要性について
2022.04.18(2024.02.29更新)

昨今、不正アクセスによる被害が増えている状況にあり、自社のネットワークに不安を感じている方も多いのではないでしょうか。「ファイアウォール」は企業のネットワークを外部による攻撃から守るセキュリティの1つです。
今回はファイアウォールとは何なのかや、種類や仕組みについてご紹介します。

セキュリティ無料相談

目次

ファイアウォールとは?役割と仕組み

ファイアウォールとは、ネットワーク経由の通信において、外部からの攻撃や、社内ネットワークへの不正アクセスから守るためのハードウェア・ソフトウェア等を指すセキュリティ製品です。
ファイアウォールとは日本語に直すと「防火壁」という意味となります。ファイアウォールは火災のときに、被害を最小限に食い止める防火壁のような役割を持っているためです。
ファイアウォールはインターネットと企業内のネットワークシステムの間に壁として立ち、不正アクセスやサイバー攻撃から社内ネットワークを守るデジタルな防火壁のようなものと考えるとわかりやすいでしょう。

ファイアウォールの役割

ファイアウォールの仕組み

現在のファイアウォールには大きく分けて2種類あります。1つはコンピュータ単体を防御することを目的とした「パーソナルファイアウォール」。もう1つは、企業や団体で運用している大規模なネットワーク全体を防御する「ファイアウォール」です。

パーソナルファイアウォールは、利用者のコンピュータに導入するソフトウェアのことです。インターネットからの不正なアクセスやウイルスの侵入を防いだり、自身のコンピュータを外部から見えなくしたりすることができます。これらによって、コンピュータを攻撃対象から外す効果が期待できるのです。
一方で、企業などのネットワークに使用するファイアウォールは、インターネットと社内ネットワークとの間に設置するハードウェア/ソフトウェアとなります。設置の目的は、外部からの不正なアクセスから社内のネットワークを守ることです。詳細な仕組みとしては、まずパケットと呼ばれる情報の集合体をチェックします。その上で、あらかじめ設定したポリシーに基づいて許可された通信だけを通過させ、許可されていない通信は遮断するという機能を備えているのです。また通信を遮断した場合、不正な通信があったことをコンピュータの管理者に通報します。
ファイアウォールの主な機能は許可されたパケットのフィルタリング機能ですが、その他にもアドレス変換機能や遠隔操作・監視機能を持つものもあります。製品によってサポートされている機能に違いがあるため、導入製品を検討する際は機能の比較をするようにしましょう。

企業が取り入れるべきファイアウォール

個人のコンピュータにパーソナルファイアウォールを設けるだけでは、社内のネットワークに対する不正アクセスを防ぐことはできません。企業全体のネットワークを防御する、強固なファイアウォールが必要となるのです。
また、企業単位でのセキュリティ対策を強化するにあたっては、ファイアウォールだけでは対策として不十分な場合もあります。たとえば、不正アクセス等の攻撃を、ファイアウォールだけで検知することはできません。別途、不正侵入を検知したり、不正侵入から情報を守ったりするための機能を設けなければならない場合もあります。

ALSOKが提供している、「UTM運用サービス」は、ファイアウォールの基本機能に加え、さまざまなセキュリティ機能を1つにまとめた企業向けのネットワークセキュリティです。導入することで、外部からの脅威に対して、ネットワーク内の情報資産や顧客情報を守ります。

ファイアウォールの必要性

企業ネットワークにファイアウォールを設けることが必要である理由は、以下の事項が挙げられます。

不正アクセスの増加に伴い、対策が求められている

警察庁の資料「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によるとサイバー空間の脅威情勢は極めて深刻な情勢が続いており、令和5年中のサイバー犯罪の検挙件数も過去最多を記録しています。

令和5年においては、行政機関、学術研究機関等において情報窃取を目的としたと思われる不正アクセス等が多数発生しました。
また、「ランサムウェア」による被害件数は令和4年上期以降197件と高水準で推移するとともに、データを暗号化する(ランサムウェアを用いる)ことなくデータを窃取し対価を要求する手口である「ノーウェアランサム」の被害も確認されています。

これらの被害への対策として不正侵入対策機能(IPS/IDS)が搭載されたファイアウォールを導入することで、不正アクセスを検知することが可能になります。万が一、不正なアクセスが検知された場合は、通知も行ってくれます。
ただし、ファイアウォールも万能ではなく、すべての不正アクセスを防ぐわけではありませんが、基本的な対策として非常に重要といえます。

参考:警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」

ファイアウォールの種類別の特徴

ファイアウォールは、設けられた方式によって3つの種類に細分化されています。ここでは、3種類のファイアウォールの概要をご説明し、それらのメリット・デメリットもご紹介します。

パケットフィルタリング型

予めフィルターを設定しておき、通信を試みるパケットをフィルターにかけることで、登録されていない未知の通信を遮断する方法を用いているファイアウォールです。
フィルタリングのルール設定が柔軟に行え、未知の通信を強力に遮断できるというメリットがある反面、設定自体が複雑で難しくなりがちになるというデメリットもあります。

アプリケーションゲートウェイ型

データの中身を確認して通信の許可を決めるファイアウォールになります。
Webブラウザや電子メール、ファイル転送など、ネットワークを利用するアプリケーションではそれぞれのアプリケーション特有の通信処理が必要となります。アプリケーションプロトコルとはネットワークにおける通信手順やデータ形式を定めたプロトコル(通信規約)の分類の1つで、具体的な用途やソフトウェア、サービスなどの種類に応じて個別に制定されたものを指します。

アプリケーションゲートウェイ型は、HTTPやFTPなどのアプリケーションプロトコル(通信規約)ごとに通信を制御する仕組みを準備し、外部ネットワークとのやり取りを許可したり遮断したりする方法です。そのため、従来対策が難しかった、なりすましによる不正アクセスも対策可能です。
また、社内端末と外部が直接インターネット通信を行わないようにプロキシサーバーという中間地点を経由して切り離す方式でもあるため、プロキシ型ファイアウォールとも呼ばれています。

この型のメリットは、パケットフィルタリング型と異なり設定がしやすい点です。またアプリケーション層まで確認するため、高精度なアクセス制限を設けることができます。ただし、各通信の内容を詳細に検査するため、パケットフィルタリング型と比べてリソースの消費が大きく、ネットワークのパフォーマンス(処理速度)に影響を及ぼす可能性があります。

サーキットレベルゲートウェイ型

パケットフィルタリング型の動作に加え、通信を許可するためのポート指定・制御を行う方法です。OSIモデルというコンピュータの通信を7階層で分類した場合の、第4層にあたる「トランスポート層」レベルで通信を監視・制御します。

この型は、上述でお伝えしたアプリケーションプロトコルを応用できるというメリットを備えています。ただし、運用において専用のソフトウェアが必要となる場合がある点はデメリットとなり得ます。

ファイアウォールの種類別の特徴

ファイアウォールの基本的な機能について

ファイアウォールには、いくつかの機能が設けられています。
ここでは、ファイアウォールに備わっている機能についてご紹介します。

フィルタリング機能

通信を試みているパケットを検査し、あらかじめ設定した送信元/送信先(IPアドレス・ポート)を決めておき、適合するパケットだけ通信を許可する機能です。許可されていないパケットは、都度遮断されますので不正アクセスによる侵入を防げます。

ファイアウォールは、サーバーやコンピュータに設けられた通信窓口である「ポート」を制御して遮断や許可を行っています。ポートは各サーバーやコンピュータに0~65535番まで設けられており、Webページは80やhttpsは443などが代表的な番号です。このポート番号にルールを付けることで、通信の内容に応じて開閉する機能になります。

ポートとは

IP・ポート変換機能(NAPT)

ファイアウォールの主要な機能の1つに、IPアドレスを変換するNATがあります。NAT(Network Address Translation)とは、プライベートIPアドレス(企業内ネットワークで使用)をグローバルIPアドレス(外部ネットワークで使用)に変換する機能のことを指し、外部に対してプライベートIPアドレスを保護する(隠す)ことで、外部からの不正な通信を困難にする機能のことです。このNATの機能に加え、ポート番号を変換するNAPTもあります。ファイアウォール内でNATを適切に設定し、外部アクセスの許可・拒否を決定することも可能です。

遠隔操作・監視機能

ファイアウォールには通信ログを常に記録・分析する機能があり、不正なアクセスがあった場合は管理者への通知が行われます。加えて管理者は遠隔で、通信状況の調査や追跡、監視、管理を行うことが可能です。

ALSOKの「UTM運用サービス」で脅威から守る

現在のコンピュータには、ほとんどのOSにパーソナルファイアウォールが標準で実装されています。しかし先にも述べているとおり、ファイアウォール単体だけでは企業ネットワークへの不正侵入を防ぐことは困難です。
新たな未知の脅威によるリスクなど、あらゆる万が一の事態を想定してさまざまなセキュリティ対策を組み合わせ、見直していく必要があるといえます。

ALSOKでは、企業のネットワークを攻撃から守る「UTM運用サービス」をご提供しています。
ネットワークの監視のみならず、緊急時の対応、通信状況のレポートまでアウトソーシングできるので、セキュリティ対策に関する管理の手間やコストを削減できます。

以下は、UTMとファイアウォールの防御可能な攻撃の違いについて図にしたものです。

攻撃の内容 ファイアウォール UTM
不正アクセス
迷惑メールやフィッシングメール -
ウイルスなどのマルウェア -
悪質なWebサイト -

ファイアウォールは不正アクセスへの対策ができますが、社内ネットワークはその他の脅威のリスクにさらされる可能性もあります。ファイアウォール単体に依存せず他のセキュリティ対策と組み合わせる必要があるでしょう。その対策としてUTMを取り入れることで、社外からの不正アクセスのみならず迷惑メールやウイルスなどへの対策が可能となります。

まとめ

企業へのサイバー攻撃が報じられる機会が増えても、なんとなく対岸の火事のように感じてしまう方も少なくないと思います。しかし、事業において外部との通信を行っている以上、どのような企業にも平等にリスクがともなうと考えて良いでしょう。
企業のネットワークに対する不正アクセスを防ぐためには、ファイアウォールの導入は必要です。ただし、ファイアウォールも万能ではなく、すべての不正アクセスを防ぐわけではありません。そのため、ファイアウォール単体に依存せず、他のセキュリティ対策と組み合わせる必要があります。
企業ネットワークを監視できるセキュリティを取り入れ、万一の備えをさらに強化してみてはいかがでしょうか。

セキュリティ無料相談