ファイアウォールで防げるセキュリティ事故とは?導入時のポイントも解説

この記事は約9分で読めます。

昨今ではネットワーク関連の犯罪が増えており、どの企業もいつ被害に遭ってもおかしくないと言えます。こういった背景からも、企業のセキュリティ担当者であれば、ファイアウォールの役目と必要性について知っておく必要があります。

ファイアウォールは、パソコンに標準搭載されていますが、これだけでは高度な攻撃からは身を守れるとは言えません。攻撃技術は日々進化しているので、ファイアウォールを別に導入し、対策を練る必要があります。

本記事ではファイアウォールについて、その役割と導入しない場合のリスクや、どういったものを取り入れるべきかについて、詳しく解説いたします。

ファイアウォールとは

ファイアウォールを日本語に訳すと「防火壁」という意味であり、火事の延焼を防ぐための壁と同様に、ネットワークでの門番のような役割を果たします。悪意あるサイバー攻撃者は、常にネットワーク経由で、情報の盗み取りなどを考えています。

こういったことを防ぐ為に、外部ネットワークの通信が安全かをチェックし、許可を判断するのがファイアウォールなのです。

ファイアウォールを導入しない場合のリスクについて

ファイアウォール未導入の場合には、家の鍵が無いようなものなので「いつでも自由に不審者が入れる状態」だと言えます。具体的には、下記のようなリスクが想定されます。

重要情報を盗まれたり、知らぬ間に自分が外部を攻撃する可能性がある

DoS攻撃(※1)やなりすましなど、サイバー攻撃の種類は様々です。攻撃されると重要情報が盗み取られたりします。

パソコンを乗っ取られた場合には、意図せずに自分が攻撃する側に回っていたということもあります。

※1 DoS攻撃とは?
攻撃したい相手に大量のデータなどを送り、負荷を与えることによって、相手のサービスを停止させる攻撃手法です。

ISMSやPマークなどの審査に影響がある

ISMSはInformation Security Management Systemの略で、情報セキュリティの管理体制が整っている企業が認定されます。Pマークはプライバシーマークの略で、個人情報を扱う企業に対し、適切な体制が整うと認定されます。

ISMSとPマークに共通するのは、社内で適切なセキュリティ対策が取られていないと、認定されないということです。このことから、ファイアウォールを適切に導入していないと、審査にて指摘を受ける可能性があります。

また取引先との条件に「ISMSもしくはPマークを持っていること」とする企業も多く、セキュリティを重視する企業が増えていることが分かります。

ファイアウォールが動作する仕組み

外部の攻撃から守る、ファイアウォールの「基本的な3つの機能」について説明します。

パケットフィルタリング

パケットという「通信用に細かくしたデータ情報」をチェックし、安全かを判断する機能です。

ファイアウォール側で「Aという情報はOK」とか「Bという情報は危険」などのリストを持っているので、それに基づいて判断します。

NAT

NATとはNetwork Address Translationの略で、各ネットワークの住所であるIPアドレスを変換する機能です。

例を挙げて説明しましょう。

会社でインターネットを見る場合、通信がルーターという機械を通り、その後パソコンで閲覧可能になります。ルーターがA社の総合受付だとすると、パソコンは営業部のBさんのものというイメージです。インターネットの通信情報は、A社の総合受付の住所であるIPアドレス「A」に向けて送られます。ここからBさんが確認するには、総合受付の人が、Bさんの居場所であるIPアドレス「B」に向けて、情報を送る必要があるのです。

このように、IPアドレス「A」から「B」に変換し、Bさんも情報を見られるようにしてくれるものがNATなのです。

アプリケーションゲートウェイ

アプリケーションゲートウェイは、内部ネットワークに代わり、外部からの通信データの中身をチェックし、安全かを判断する機能です。

一切外部と接続することなく、ファイアウォールが「安全かどうか」を見てくれるので、内部ネットワークの安全は保たれると言えます。

様々なファイアウォールの種類

ファイアウォールは、大きく3つの型に分けることができます。

パケットフィルタリング型

パケットのデータ情報をチェックし、安全かを判断するファイアウォールが「パケットフィルタリング型」です。

これは更に下記3つのタイプに分かれます。

スタティックパケットフィルタリングタイプ

パケットは通信用に細かく分けたデータのことで、「ヘッダ」と「データ」部分に分けることができます。スタティックフィルタリングタイプは、ヘッダ部分のみをチェックし、安全かを判断します。

ちなみにヘッダには、データの送信元情報IPアドレス情報などが載っています
中身の全てを確認するわけではないので、処理速度は速いのですが、偽装されたパケットなどを見つけることはできません。

ダイナミックパケットフィルタリングタイプ

ネットワークの門の役割を果たす「ポート」を開放し、通信しない時にはその門を閉めるのが「パケットフィルタリング」です。

パケットのやり取りには「相手→自分側」と「自分側→相手」の2つのパターンがありますが、ダイナミックパケットフィルタリングタイプは、このどちらかが安全だと判断されれば、通信可能になります

ステートフルパケットインスペクションタイプ

ステートフルパケットインスペクションタイプは、送られてきたパケットの文脈を見て、安全かを判断します。過去の通信記録と照らし合わせ、不審点が無いかをチェックします

DoS攻撃のように、大量のデータを送りつけてくるような攻撃には弱いです。

ゲートウェイ型(プロキシ型)

ゲートウェイ型(別名プロキシ型)は、ファイアウォールが内部ネットワークに変わり、外部ネットワークを確認します。内部ネットワークは接触せずに、しっかりと確認できるのが特徴です。

パケットの中身も確認するので、なりすまし攻撃も見抜くことができます。

サーキットゲートウェイ型

先述したパケットフィルタリング型に、プラスした機能がついたものだと言えます。

パケットフィルタリング型のように安全をチェックした上で、任意のポートを指定し、通信許可または拒否を行うことが可能です。

その他のセキュリティソフトの違い

ここまでファイアウォールについて説明をしましたが、混同されやすいものとして「WAF」や「IPS/IDS」があります。これらは守る対象が異なります。

対象が異なるので、極論を言えばファイアウォールも含め「全て必要なもの」とも言えます

WAF

WAFはWeb Application Firewallの略です。

WAFは、ファイアウォールやIPS/IDSで防ぐことができなかった攻撃を、WEBアプリケーション単位で守るものです。

IPS/IDS

IPSはIntrusion Prevention Systemの略で、不正侵入防御システムです。
一方IDSはIntrusion Detection Systemの略で不正侵入検知システムです。

ファイアウォールは、IPアドレスや差出人の情報などのネットワークレベルまでをチェックしますが、内部の情報まではチェックしません
IPS/IDSに関しては、サーバーのOSなどの内部までチェックし、安全を判断します

ファイアウォール導入を成功させるコツ

ファイアウォールを導入するうえで、迷うこともあるでしょう。そのような時には下記ポイントを参考にし、自社での基準を踏まえながら、合うものを選ぶと良いでしょう。

提供形態をきちんと理解する

ファイアウォールの提供形態には「クラウド型」「ソフトウェア型」「ハードウェア型」の3種類があり、それぞれ特徴が異なります。簡単にまとめると下記の通りです。

クラウド型
サーバーを監視
ソフトウェア型
内部ネットワークを監視
ハードウェア
ルーターなどのネットワーク機器を監視

更に詳細を説明します。

クラウド型

クラウド環境で使用するので、ファイアウォール自体は社外にあるイメージです。

社内に複数サーバーを持っていて、一括管理したい場合には、クラウドが向いていると言えます。
3種類の中では設定が一番簡単で、運用負担が少ないと言えます。

ソフトウェア型

ソフトウェア型は、内部ネットワークと外部ネットワークの間で、通信の監視をします。

社内から外部攻撃に目を光らせているので、各社員のパソコンへの通信をフィルタリングすることが可能であり、社内からの情報漏洩リスク対応も可能です。

ハードウェア型

ハードウェア型は、インターネットの出口・入口の役目をする「ルーター」に対し、通信の監視をします。ルーター自体を守るので、各社員のパソコンに通信が行く前に、フィルタリングできると言えます。

欲しい機能を備えているか

ファイアウォールにはそれぞれ特徴があり、保持している機能も異なります。そういった中から「欲しい機能を備えているか」を判断するべく、下記を参考にすると良いでしょう。

ファイアウォールの基本的機能以外も欲しい

例えば「サイトへの閲覧制限をしたい」ですとか「不正なアクセスを瞬時に知りたい」などの希望をお持ちの場合もあるでしょう。こういった場合には、UTMなども選択肢に入れると良いです。

アプリケーションまで保護したい

通信の監視網をくぐってしまった場合を想定し、アプリケーションまで保護したい場合には、WAFなどの選択もアリでしょう。

他のセキュリティ製品と機能が重複しないよう注意

ファイアウォール導入前に、すでにウイルス対策ソフトなどを入れている場合もあるでしょう。そうしたケースで、ファイアウォール製品と重複した機能がついていると、お金を余計に使っていることにもなるので、注意が必要です。

ファイアウォールの通信処理スペックは十分か

機能の充実したファイアウォールを導入しても、通信処理スペックが合わないと、通信障害が発生し、業務に支障が出ることがあります。下記などをポイントにし、通信処理スペックにも注意すると良いでしょう。

システムへのセッション数を把握し、通信負荷に耐えられるファイアウォールを選択する
ファイアウォールを強固なものにするほど、チェックするデータ量が増えるので、通信速度が低下したり、通信自体ができなくなることがあります。導入予定のファイアウォールの通信処理スペックと、社内の状況を比較することが大切です。
将来的なセッション数の増加を予測し、その最大値でも耐えられる機器を選定する
現状では問題なくても、将来的に社員を増やしたり、他機器の導入予定がある場合には注意が必要です。セッション数が増えて、障害が発生する可能性があるので、将来的を加味して製品を選びましょう。
ISMSやPマークも同時に意識したい
ISMSやPマークをすでに持っていたり、今後取得する企業もあるでしょう。これらを意識した効率のよいファイアウォールを希望する場合には、ISMSやPマークへの対応ノウハウがあるコンサル会社への依頼も検討すると良いです。

まとめ

ファイアウォールは、企業のネットワークセキュリティーに欠かせないものだということが分かりました。それぞれの企業に合った製品を取り入れ、社内の安全を守ることは、安心して仕事ができることに繋がると言えます。

情報セキュリティ対策インシデント対策
タイトルとURLをコピーしました