ファイアウォールとは?仕組みや種類・必要性について

ファイアウォールとは?仕組みや種類・必要性について
2025.01.09 更新(2022.04.18公開)

昨今、不正アクセスによる被害が増えている状況にあり、自社のネットワークに不安を感じている方も多いのではないでしょうか。「ファイアウォール」は企業のネットワークを外部による攻撃から守るセキュリティの1つです。
今回はファイアウォールとは何なのかや、種類や仕組みについてご紹介します。

目次

ファイアウォールとは?役割と仕組み

ファイアウォールとは、ネットワーク経由の通信において、外部からの攻撃や、社内ネットワークへの不正アクセスから守るためのハードウェア・ソフトウェア等を指すセキュリティ製品です。
ファイアウォールとは日本語に直すと「防火壁」という意味となります。ファイアウォールは火災のときに、被害を最小限に食い止める防火壁のような役割を持っているためです。
ファイアウォールはインターネットと企業内のネットワークシステムの間に壁として立ち、不正アクセスやサイバー攻撃から社内ネットワークを守るデジタルな防火壁のようなものと考えるとわかりやすいでしょう。

ファイアウォールの役割

ファイアウォールの仕組み

現在のファイアウォールには大きく分けて2種類あります。1つはコンピュータ単体を防御することを目的とした「パーソナルファイアウォール」。もう1つは、企業や団体で運用している大規模なネットワーク全体を防御する「ファイアウォール」です。

パーソナルファイアウォールは、利用者のコンピュータに導入するソフトウェアのことです。インターネットからの不正なアクセスやウイルスの侵入を防いだり、自身のコンピュータを外部から見えなくしたりすることができます。これらによって、コンピュータを攻撃対象から外す効果が期待できるのです。
一方で、企業などのネットワークに使用するファイアウォールは、インターネットと社内ネットワークとの間に設置するハードウェア/ソフトウェアとなります。設置の目的は、外部からの不正なアクセスから社内のネットワークを守ることです。詳細な仕組みとしては、まずパケットと呼ばれる情報の集合体をチェックします。その上で、あらかじめ設定したポリシーに基づいて許可された通信だけを通過させ、許可されていない通信は遮断するという機能を備えているのです。また通信を遮断した場合、不正な通信があったことをコンピュータの管理者に通報します。
ファイアウォールの主な機能は許可されたパケットのフィルタリング機能ですが、その他にもアドレス変換機能や遠隔操作・監視機能を持つものもあります。製品によってサポートされている機能に違いがあるため、導入製品を検討する際は機能の比較をするようにしましょう。

企業が取り入れるべきファイアウォール

個人のコンピュータにパーソナルファイアウォールを設けるだけでは、社内のネットワークに対する不正アクセスを防ぐことはできません。企業全体のネットワークを防御する、強固なファイアウォールが必要となるのです。
また、企業単位でのセキュリティ対策を強化するにあたっては、ファイアウォールだけでは対策として不十分な場合もあります。たとえば、不正アクセス等の攻撃を、ファイアウォールだけで検知することはできません。別途、不正侵入を検知したり、不正侵入から情報を守ったりするための機能を設けなければならない場合もあります。

ALSOKが提供している、「UTM運用サービス」は、ファイアウォールの基本機能に加え、さまざまなセキュリティ機能を1つにまとめた企業向けのネットワークセキュリティです。導入することで、外部からの脅威に対して、ネットワーク内の情報資産や顧客情報を守ります。

ファイアウォールの必要性

企業ネットワークにファイアウォールを設けることが必要である理由は、以下の事項が挙げられます。

不正アクセスの増加に伴い、対策が求められている

警察庁の資料「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によるとサイバー空間の脅威情勢は極めて深刻な情勢が続いており、令和5年中のサイバー犯罪の検挙件数も過去最多を記録しています。

令和5年においては、行政機関、学術研究機関等において情報窃取を目的としたと思われる不正アクセス等が多数発生しました。
また、「ランサムウェア」による被害件数は令和4年上期以降197件と高水準で推移するとともに、データを暗号化する(ランサムウェアを用いる)ことなくデータを窃取し対価を要求する手口である「ノーウェアランサム」の被害も確認されています。

これらの被害への対策として不正侵入対策機能(IPS/IDS)が搭載されたファイアウォールを導入することで、不正アクセスを検知することが可能になります。万が一、不正なアクセスが検知された場合は、通知も行ってくれます。
ただし、ファイアウォールも万能ではなく、すべての不正アクセスを防ぐわけではありませんが、基本的な対策として非常に重要といえます。

参考:警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」

ファイアウォールの種類別の特徴

ファイアウォールは、設けられた方式によって3つの種類に細分化されています。ここでは、3種類のファイアウォールの概要をご説明し、それらのメリット・デメリットもご紹介します。

パケットフィルタリング型

予めフィルターを設定しておき、通信を試みるパケットをフィルターにかけることで、登録されていない未知の通信を遮断する方法を用いているファイアウォールです。
フィルタリングのルール設定が柔軟に行え、未知の通信を強力に遮断できるというメリットがある反面、設定自体が複雑で難しくなりがちになるというデメリットもあります。

アプリケーションゲートウェイ型

データの中身を確認して通信の許可を決めるファイアウォールになります。
Webブラウザや電子メール、ファイル転送など、ネットワークを利用するアプリケーションではそれぞれのアプリケーション特有の通信処理が必要となります。アプリケーションプロトコルとはネットワークにおける通信手順やデータ形式を定めたプロトコル(通信規約)の分類の1つで、具体的な用途やソフトウェア、サービスなどの種類に応じて個別に制定されたものを指します。

アプリケーションゲートウェイ型は、HTTPやFTPなどのアプリケーションプロトコル(通信規約)ごとに通信を制御する仕組みを準備し、外部ネットワークとのやり取りを許可したり遮断したりする方法です。そのため、従来対策が難しかった、なりすましによる不正アクセスも対策可能です。
また、社内端末と外部が直接インターネット通信を行わないようにプロキシサーバーという中間地点を経由して切り離す方式でもあるため、プロキシ型ファイアウォールとも呼ばれています。

この型のメリットは、パケットフィルタリング型と異なり設定がしやすい点です。またアプリケーション層まで確認するため、高精度なアクセス制限を設けることができます。ただし、各通信の内容を詳細に検査するため、パケットフィルタリング型と比べてリソースの消費が大きく、ネットワークのパフォーマンス(処理速度)に影響を及ぼす可能性があります。

サーキットレベルゲートウェイ型

パケットフィルタリング型の動作に加え、通信を許可するためのポート指定・制御を行う方法です。OSIモデルというコンピュータの通信を7階層で分類した場合の、第4層にあたる「トランスポート層」レベルで通信を監視・制御します。

この型は、上述でお伝えしたアプリケーションプロトコルを応用できるというメリットを備えています。ただし、運用において専用のソフトウェアが必要となる場合がある点はデメリットとなり得ます。

ファイアウォールの種類別の特徴

ファイアウォールの基本的な機能について

ファイアウォールには、いくつかの機能が設けられています。
ここでは、ファイアウォールに備わっている機能についてご紹介します。

フィルタリング機能

通信を試みているパケットを検査し、あらかじめ設定した送信元/送信先(IPアドレス・ポート)を決めておき、適合するパケットだけ通信を許可する機能です。許可されていないパケットは、都度遮断されますので不正アクセスによる侵入を防げます。

ファイアウォールは、サーバーやコンピュータに設けられた通信窓口である「ポート」を制御して遮断や許可を行っています。ポートは各サーバーやコンピュータに0~65535番まで設けられており、Webページは80やhttpsは443などが代表的な番号です。このポート番号にルールを付けることで、通信の内容に応じて開閉する機能になります。

ポートとは

IP・ポート変換機能(NAPT)

ファイアウォールの主要な機能の1つに、IPアドレスを変換するNATがあります。NAT(Network Address Translation)とは、プライベートIPアドレス(企業内ネットワークで使用)をグローバルIPアドレス(外部ネットワークで使用)に変換する機能のことを指し、外部に対してプライベートIPアドレスを保護する(隠す)ことで、外部からの不正な通信を困難にする機能のことです。このNATの機能に加え、ポート番号を変換するNAPTもあります。ファイアウォール内でNATを適切に設定し、外部アクセスの許可・拒否を決定することも可能です。

遠隔操作・監視機能

ファイアウォールには通信ログを常に記録・分析する機能があり、不正なアクセスがあった場合は管理者への通知が行われます。加えて管理者は遠隔で、通信状況の調査や追跡、監視、管理を行うことが可能です。

ファイアウォールで防ぐことができない攻撃から身を守るUTM

現在のコンピュータには、ほとんどのOSにパーソナルファイアウォールが標準で実装されています。しかしパーソナルファイアウォールには、社員が個別に設定を変更できてしまい、在宅・モバイルワーク時の設定状態の把握も困難という大きな課題があります。さらに、従来型のファイアウォールでは、正規クラウドサービスを装ったフィッシング、内部感染PCからの横展開など、最新の脅威を防ぐことができません。
新たな未知の脅威によるリスクなど、あらゆる万が一の事態を想定してさまざまなセキュリティ対策を組み合わせ、見直していく必要があるといえます。

ALSOKでは、企業のネットワークを攻撃から守る「UTM運用サービス」をご提供しています。
ネットワークの監視のみならず、緊急時の対応、通信状況のレポートまでアウトソーシングできるので、セキュリティ対策に関する管理の手間やコストを削減できます。

以下は、UTMとファイアウォールの防御可能な攻撃の違いについて図にしたものです。

攻撃の内容 ファイアウォール UTM
不正アクセス
迷惑メールやフィッシングメール -
ウイルスなどのマルウェア -
悪質なWebサイト -

ファイアウォールは不正アクセスへの対策ができますが、社内ネットワークはその他の脅威のリスクにさらされる可能性もあります。ファイアウォール単体に依存せず他のセキュリティ対策と組み合わせる必要があるでしょう。その対策としてUTMを取り入れることで、社外からの不正アクセスのみならず迷惑メールやウイルスなどへの対策が可能となります。

Q&A

ルーターのパケットフィルタリング機能があればファイアウォールは必要ない?

ルーターは確かに基本的なパケットフィルタリング機能やNATによる内部ネットワークの保護機能があります。ただし、あくまでも簡易的なもので、ファイアウォールの持つ、より詳細なトラフィック分析やログの記録などセキュリティに欠かせない機能が原則として備わっていません。そのため、本格的なネットワークセキュリティを確保するためには、専用のファイアウォールの導入を推奨します。特にビジネス環境では、ルーターだけでは十分なセキュリティを確保できない可能性があります。

WAF(Web Application Firewall)との違いは?

ファイアウォールは、主にネットワーク層(OSI参照モデルの第3層・第4層)でのトラフィック制御を担当し、IPアドレスやポート番号に基づいてパケットのフィルタリングを行います。例えば、特定のIPアドレスからの通信をブロックしたり、使用していないポートへのアクセスを遮断したりする機能を持っています。
一方、WAFはアプリケーション層(OSI参照モデルの第7層)で動作し、Webアプリケーションに特化した防御を提供します。SQLインジェクションやクロスサイトスクリプティング(XSS)などの高度な攻撃パターンを検知し、ブロックすることができます。また、HTTPリクエストの内容を詳細に分析し、不正なパラメータや異常な振る舞いを識別する能力も持っています。

簡単に例えると、ファイアウォールは建物の入口で訪問者のIDをチェックする警備員のような役割を果たし、WAFは建物内の各部屋で訪問者の行動を監視し、不審な行動があれば即座に対応する警備員のような役割を果たします。

ファイアウォールでDDoS攻撃を防ぐことはできますか

ファイアウォール単体ではDDoS攻撃を完全に防ぐことは困難です。
DDoS攻撃は正当な通信を装った大量のリクエストを送信します。これらの攻撃トラフィックは正規のプロトコルやポートを使用するため、ファイアウォールのルールでは正常な通信と区別することが困難です。
た、ネットワークアーキテクチャの観点からも問題があります。ファイアウォールは通常、ネットワークの境界に設置されますが、DDoS攻撃による大量のトラフィックは、ファイアウォールに到達する前にネットワーク回線を飽和させてしまいます。つまり、攻撃トラフィックを検査する前に、インフラ自体が機能停止に陥ってしまうのです。
加えて、DDoS攻撃は世界中の多数のIPアドレスから行われる分散型の攻撃であるため、単純なIPアドレスベースのブロックでは正常なユーザーまで排除してしまう可能性があります。攻撃元が常に変化するため、効果的なブラックリストの作成も困難です。

まとめ

企業へのサイバー攻撃が報じられる機会が増えても、なんとなく対岸の火事のように感じてしまう方も少なくないと思います。しかし、事業において外部との通信を行っている以上、どのような企業にも平等にリスクがともなうと考えて良いでしょう。
企業のネットワークに対する不正アクセスを防ぐためには、ファイアウォールの導入は必要です。ただし、ファイアウォールも万能ではなく、すべての不正アクセスを防ぐわけではありません。そのため、ファイアウォール単体に依存せず、他のセキュリティ対策と組み合わせる必要があります。
企業ネットワークを監視できるセキュリティを取り入れ、万一の備えをさらに強化してみてはいかがでしょうか。